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文艺 复兴 以 来 ,源远流长 的 科学 精神 和 逐步 形成 的 学 术 规范 ， 使 西方 国家 在 自然 科学 的 各 
个 领域 取得 了 八 断 性 的 优势 ， 也 正 是 这 样 的 优势 ， 使 美国 在 信息 技术 发 展 的 六 十 多 年 间 名 家 辈 
出 、 独 领 风骚 。 在 商业 化 的 进程 中 ， 美 国 的 产业 界 与 教育 界 越 来 越 紧密 地 结合 ， 计 算 机 学 科 中 
的 许多 泰山 北斗 同时 身 处 科研 和 教学 的 最 前 线 ， 由 此 而 产生 的 经 典 科学 著作 ， 不 仅 壁 划 了 研究 
的 范畴 ， 还 揭示 了 学 术 的 源 变 ， 既 遵循 学 术 规 范 ， 又 自 有 学 者 个 性 ， 其 价值 并 不 会 因 年 月 的 流 
逝 而 减退 。 

近年 ， 在 全 球 信 息 化 大 潮 的 推动 下 ， 我 国 的 计算 机 产业 发 展 迅猛 ， 对 专业 人 才 的 需求 日 益 
迫切 。 这 对 计算 机 教育 界 和 出 版 界 都 既是 机 遇 ， 也 是 挑战 ， 而 专业 教材 的 建设 在 教育 战略 上 显 
得 举足轻重 。 在 我 国信 息 技术 发 展 时 间 较 短 的 现状 下 ， 美 国 等 发 达 国 家 在 其 计算 机 科学 发 展 的 
几 十 年 间 积淀 和 发 展 的 经 典 教材 仍 有 许多 值得 借鉴 之 处 。 因 此 ， 引 进 一 批 国外 优秀 计算 机 教材 
将 对 我 国 计 算 机 教育 事业 的 发 展 起 到 积极 的 推动 作用 ， 也 是 与 世界 接轨 、 建 设 真正 的 世界 一 流 
大 学 的 必由之路 。 

机 械 工业 出 版 社 华章 公司 较 早 意识 到 “出 版 要 为 教育 服务 。 自 1998 年 开始 ， 我 们 
就 将 工作 重点 放 在 了 入选、 移 译 国外 优秀 教材 上 。 经 过 多 年 的 不 懈 努 力 ， 我 们 与 Pearson， 
McGraw-Hill, Elsevier, MIT, John Wiley & Sons, Cengage 等 世界 著名 出 版 公司 建立 了 良好 的 
合作 关系 ， 从 他 们 现 有 的 数 百 种 教材 中 甄选 出 Andrew S. Tanenbaum, Bjarne Stroustrup, Brian 
W. Kernighan, Dennis Ritchie, Jim Gray, Afred V. Aho, John E. Hopcroft, Jeffrey D. Ullman, 
Abraham Silberschatz, William Stallings, Donald E. Knuth, John L. Hennessy, Larry L. Peterson 
等 大 师 名 家 的 一 批 经 典 作品 ， 以 “计算 机 科学 丛书 ”为 总 称 出 版 ， 供 读者 学 习 、 研 究 及 珍藏 。 
大 理 石 纹理 的 封面 ， 也 正体 现 了 这 套 丛书 的 品位 和 格调 。 

“计算 机 科学 丛书 ”的 出 版 工作 得 到 了 国内 外 学 者 的 时 力 相 助 ， 国 内 的 专家 不 仅 提供 了 中 
肯 的 选 题 指 导 ， 还 不 辞 劳 苗 地 担任 了 翻译 和 审 校 的 工作 ， 而 原 书 的 作者 也 相当 关注 其 作品 在 中 
国 的 传播 ， 有 的 还 专门 为 其 书 的 中 译本 作 序 。 记 今 ,“ 计 算 机 科学 丛书” 已 经 出 版 了 近 两 百 个 
品种 ， 这 些 书籍 在 读者 中 树立 了 良好 的 口碑 ， 并 被 许多 高 校 采用 为 正式 教材 和 参考 书籍 。 其 影 
印 版 “经 典 原版 书库 ”作为 姊妹 篇 也 被 越 来 越 多 实施 双语 教学 的 学 校 所 采用 。 

权威 的 作者 、 经 典 的 教材 、 一 流 的 译 者 、 严 格 的 审 校 、 精 细 的 编辑 ， 这 些 因素 使 我 们 的 图 
书 有 了 质量 的 保证 。 随 着 计算 机 科学 与 技术 专业 学 科 建 设 的 不 断 完善 和 教材 改革 的 逐渐 深化 ， 
教育 界 对 国外 计算 机 教材 的 需求 和 应 用 都 将 步 入 一 个 新 的 阶段 ， 我 们 的 目标 是 尽善尽美 ， 而 反 
馈 的 意见 正 是 我 们 达到 这 一 终极 目标 的 重要 帮助 。 华 章 公 司 欢 迎 老 师 和 读者 对 我 们 的 工作 提出 
建议 或 给 予 指正 ， 我 们 的 联系 方法 如 下 : 


华章 网 站 : www.hzbook.com 
电子 邮件 : hzjsj@hzbook.com 
联系 电话 : (010) 88379604 A 
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William Stallings 博士 是 一 位 受 世人 尊重 的 计算 机 领域 专家 和 作者 ， 他 的 著作 对 我 国 计 算 
机 教育 界 产生 了 广泛 影响 。 他 在 向 全 世界 的 学 生 、 教 师 和 学 者 推广 计算 机 安全 、 计 算 机 网 络 和 
计算 机 体系 结构 领域 的 全 方位 技术 的 最 新 发 展 方面 ， 做 出 了 独特 的 贡献 。 他 著述 颇 丰 ， 包 括 
70 本 书 和 几 十 篇 ACM 及 IEEE 期 刊 论文 ， 十 多 次 获得 来 自 权威 机 构 颁 发 的 年 度 最 优 计算 机 科 
学 教科 书 奖 。 他 的 多 本 中 文 译 著 在 国内 广 为 流行 ， 推 动 了 我 国 计 算 机 科学 与 技术 领域 的 发 展 。 
每 当 国际 计算 机 界 孕 育 着 技术 突破 或 有 大 量 技术 概念 需要 澄清 时 ，Stallings 博士 都 会 适 
时 地 推出 他 的 相关 著作 和 论文 ， 深 入 浅 出 地 盖 明 这 些 新 技术 的 基本 概念 、 工 作 原理 、 它 们 之 
间 的 联系 以 及 最 新 发 展 。 现 在 ， 历 史 又 一 次 重演 了 。 尽 管 因特网 已 经 成 为 人 类 生活 、 生 产 等 
领域 不 可 或 缺 的 基础 设施 ， 不 断 增长 的 应 用 需求 和 人 类 创新 愿望 仍 不 断 推动 着 各 种 网 络 新 技 
术 扩 展 着 计算 机 网 络 的 疆域 ， 各 种 网 络 新 技术 应 运 而 生 。 例 如 : 
© 为 了 解决 IP 网络 体系 结构 僵化 的 难题 ， 出 现 了 软件 定义 网 络 ( SDN )， 它 是 一 种 将 控 
制 平面 与 数据 平面 分 离 ， 从 而 能 够 灵活 控制 网 络 流量 的 网 络 虚拟 化 技术 。 
。 通过 将 网 络 功能 软件 化 ， 网 络 功能 虚拟 化 ( NFV) 使 网 络 功能 摆脱 了 专用 硬件 的 柬 
缚 ， 能 够 给 通信 运营 商 带 来 诸多 好 处 。 
© 质量 体验 ( QoE) 是 指 用 户 感受 到 的 完成 整个 过 程 的 难 易 程 度 ， 是 用 户 对 设备 、 网 络 
和 系统 以 及 应 用 的 质量 和 性 能 的 主观 感受 。 
© 物 联网 ( loT) 则 指 将 各 种 信息 传 感 设备 与 互联 网 结合 起 来 而 形成 的 网 络 ， 它 使 得 所 
有 物品 都 与 网 络 连 接 在 一 起 ， 方 便 识 别 与 管理 。 
e 云 计 算 (Cloud Computing) 是 指 将 硬件 、 软 件 、 网 络 等 系列 资源 统一 起 来 ， 实 现 数 
据 的 计算 、 存 储 、 处 理 和 共享 的 一 种 计算 机 虚拟 化 技术 。 
© 在 网 络 边缘 的 计算 层 进 行 处 理 有 时 也 称 为 雾 计算 (Fog Computing )， 雾 计算 和 雾 服 
务 是 IoT 的 一 种 典型 特征 。 
一 方面 ， 这 些 网 络 新 技术 极 大 地 丰富 了 网 络 领 域 的 知识 ， 为 人 类 提供 了 更 多 创新 手段 。 
另 一 方面 ， 这 些 新 技术 使 得 原本 就 很 复杂 的 网 络 领域 更 为 错综复杂 ， 从 而 使 新 手 难以 把 握 网 
络 技术 的 全 局 。 本 书 的 目标 就 是 对 这 些 网 络 新 技术 的 概念 、 原 理 和 技术 进行 全 面 梳理 及 细致 
讲解 ， 阑 述 这 些 技术 之 间 的 相关 性 、 应 用 及 发 展 。 无 论 你 已 经 是 某 种 网 络 新 技术 方面 的 技术 
专家 ， 还 是 某 种 网 络 新 技术 的 初学 者 ， 阅 读本 书 ， 你 都 能 够 更 加 深入 地 理解 这 些 网 络 新 技术 
的 内 涵 ， 为 你 的 工程 设计 和 理论 创新 增加 新 的 知识 与 动力 。 
感谢 中 国人 民 解 放 军 陆军 工程 大 学 指挥 控制 工程 学 院 和 南京 航空 航天 大 学 计算 机 科学 与 
技术 学 院 有 关 领 导 和 同事 对 本 书 翻译 给 予 的 支持 。 感 谢 机 械 工业 出 版 社 为 我 国 读者 引进 这 本 
优秀 的 网 络 著作 ， 感 谢 编辑 们 辛勤 和 出 色 的 工作 。 也 感谢 译 者 的 家 人 对 译 者 的 支持 。 本 书 第 
一 部 分 、 文 前 和 文 后 部 分 由 南京 航空 航天 大 学 特聘 教授 陈 鸣 博 士 翻译 ,第 二 、 第 三 和 第 四 部 
分 由 中 国人 民 解 放 军 陆军 工程 大 学 讲师 胡 超 博士 翻译 ,第 五 、 第 六 部 分 由 中 国人 民 解 放 军 陆 
军工 程 大 学 副教授 邢 长 友 博 士 翻 译 。 
限于 时 间 与 水 平 ， 本 书 翻译 可 能 存在 不 妥 之 处 ， 请 识 者 指正 。 
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这 里 有 本 书 ， 检 察 官 。 我 将 它 送 给 你 ， 你 无 法 怀疑 该 书包 括 了 全 部 事实 。 


背景 


一 一 福尔摩斯 经 典故 事 《 狮 渗 毛 》 Arthur Conan Doyle Ñ+ 


众多 因素 汇聚 起 来 ， 催 生 了 计算 机 和 通信 网 络 方面 的 最 新 革命 。 


需求 : 将 注意 力 聚 焦 在 设计 、 评 价 、 管 理 和 维护 复杂 的 网 络 基础 设施 上 ， 企 业 的 这 

种 需求 测 涌 而 来 。 这 些 趋势 包括 以 下 几 个 方面 。 

> 大 数据 : 大 型 和 小 型 企业 越 来 越 依赖 于 对 海量 数据 的 处 理 和 分 析 s 为 了 在 可 接受 
的 时 间 周 期 内 处 理 大 量 的 数据 ， 大 数据 可 能 需要 分 布 式 文件 系统 、 分 布 式 数据 库 、 
云 计 算 平台 、 互 联网 存储 和 其 他 可 扩展 的 存储 技术 。 

> 云 计 算 : 在 许多 机 构 中 存在 一 种 日 益 显 著 的 趋势 ， 即 将 可 观 比 例 甚至 所 有 信息 技 
R CAT) 活动 迁移 到 称 为 企业 云 计 算 的 互联 网 连接 的 基础 设施 上 。 在 IT 数据 处 理 
方面 的 这 种 剧烈 变化 伴随 着 网 络 需 求 的 剧烈 变化 。 

> 物 联网 ( IoT) : IoT 涉及 大 量 使 用 标准 通信 体系 结构 为 终端 用 户 提供 服务 的 对 象 。 
数 十 亿 这 样 的 设备 将 与 产业 、 商 业 和 政府 网 络 连接 ， 提 供 物 理 世 界 和 计算 、 数 字 
内 容 、 分 析 、 应 用 及 服务 之 间 的 交互 。IoT 为 用 户 、 生 产 商 和 服务 提供 商 在 各 种 各 
样 的 领域 提供 了 前 所 未 有 的 机 会 。 受 益 于 IoT 数据 收集 、 分 析 和 自动 化 能 力 的 领 
域 包 括 卫生 健康 、 卫 生 保健 、 家 庭 监控 和 自动 化 、 节 能 和 智能 电网 、 农 业 、 运 输 
业 、 环 境 监测 、 仓 储 和 产品 管理 、 安 全 、 监 视 、 教 育 以 及 许多 其 他 方面 。 

> 移动 设备 : 移动 设备 现在 已 经 成 为 每 个 企业 IT 基础 设施 不 可 或 缺 的 组 成 部 分 ， 包 
括 雇 主 供给 和 自 带 设备 (BYOD)。 众 多 的 移动 设备 对 网 络 规划 和 管理 产生 了 独特 
的 新 需求 。 

A: 两 种 相互 影响 的 趋势 已 经 对 智能 、 有 效 的 网 络 设计 和 管理 产生 了 新 而 紧迫 的 

需求 。 

> 千 兆 比特 数据 速率 网 络 : 以 太 网 产品 已 经 达到 了 100Gbps 并 计划 进一步 提升 速率 。 
差不多 7Gbps 速率 的 Wi-Fi 产 品 已 可 供 使 用 。4G 和 5G 网 络 为 蜂窝 网 络 引入 了 
千 兆 比特 速率 。 

> 高 速 、 高 能 力 服务 器 : 为 了 满足 企业 不 断 增长 的 多 媒体 和 数据 处 理 需 求 ， 大 量 的 
刀片 服务 器 和 其 他 高 性 能 服务 器 得 以 发 展 ， 并 对 有 效 地 设计 和 管理 网 络 提 出 了 
需求 。 

复杂 性 : 网 络 设计 者 和 管理 者 在 复杂 、 动 态 环境 中 工作 ， 在 这 种 环境 中 各 种 不 同 的 

需求 ， 特 别 是 大 多 数 服务 质量 (QoS) 和 体验 质量 ( QoE) 需要 灵活 的 、 可 管理 的 网 

络 硬 件 和 服务 。 

安全 性 : 随 着 对 网 络 资源 的 依赖 日 益 增 加 ， 对 于 网 络 提 供 各 种 安全 性 服务 的 要 求 日 

益 加 强 。 
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随 着 对 这 些 因素 做 出 响应 的 新 型 网 络 技术 的 发 展 ， 系 统 工程 师 、 系 统 分 析 师 、IT 管理 
员 、 网 络 设 计 师 和 产品 营销 人 员 有 必要 牢固 地 掌握 现代 网 络 技 术 。 这 些 专 业 人 员 需 要 理解 前 
面 所 列 因素 的 含义 以 及 网 络 设计 人 员 如 何 做 出 响应 。 主 字 现 实 的 是 : (1 ) 迅速 研发 和 部 署 的 
两 种 互补 技术 ， 即 软件 定义 网 络 (SDN) 和 网 络 功能 虚拟 化 (NFV); (2) 需要 满足 QoS 和 
QoE 需求 。 

本 书 为 读者 提供 了 对 SDN 和 NFV 的 透彻 解释 ， 以 及 它们 的 实际 部 署 和 在 当今 企业 中 的 
使 用 。 此 外 ， 本 书 清 楚 地 解释 了 QoS/QoE 以 及 所 有 的 相关 问题 ， 例 如 云 网 络 和 IoT。 这 是 一 
本 技术 书籍 ， 目 的 是 提供 给 某 些 有 技术 背景 的 读者 ， 但 是 除了 系统 工程 师 、 网 络 维护 人 员 以 
及 网 络 和 协议 设计 者 外 ， 本 书 对 于 IT 管理 者 和 产品 销售 人 员 来 说 也 是 自 成 一 体 的 重要 资源 。 


本 书 的 组 织 
本 书 由 以 下 六 部 分 组 成 。 


现代 网 络 。 提 供 了 现代 网 络 的 概述 和 本 书 其 余部 分 的 背景 。 第 1 章 概述 了 网 络 生 态 
系统 的 构成 元 素 ， 包 括 网 络 技术 、 网 络 体系 结构 、 服 务 和 应 用 。 第 2 章 对 当前 网 络 
环境 的 演化 需求 进行 了 审视 ， 并 提供 了 对 现代 网 络 关键 技术 的 预览 。 

软件 定义 网 络 。 专 注 于 SDN 概念 、 技 术 和 应 用 的 全 面 且 透彻 的 呈现 。 第 3 章 通过 
展示 什么 是 SDN 方法 以 及 需要 它 的 原因 而 开始 讨论 ， 并 提供 了 SDN 体系 结构 的 概 
述 。 该 章 还 关注 了 发 布 SDN 规范 数 和 标准 的 组 织 。 第 4 章 详细 观察 了 SDN 数据 平 
面 ， 包 括 关键 组 件 、 它 们 如 何 交互 和 管理 。 该 章 的 许多 内 容 专 注 于 OpenFlow， 这 是 
一 种 非常 重要 的 数据 平面 技术 ， 也 是 与 控制 平面 的 接口 。 该 章 解释 了 需要 OpenFlow 
的 原因 ， 进 而 提供 了 详细 的 技术 解释 。 第 5 章 专注 于 SDN 控制 平面 ， 其 中 包括 对 
OpenDaylight 的 讨论 ， 而 OpenDaylight 是 控制 平面 的 重要 的 开源 实现 。 第 6 章 涉 
及 SDN 应 用 平面 ， 除 了 考察 通用 的 SDN 应 用 平面 体系 结构 外 ， 还 讨论 了 6 个 能 被 
SDN 支持 的 主要 应 用 领域 ， 并 且 提 供 了 一 些 SDN 应 用 的 例子 。 

虚拟 化 。 专 注 于 网 络 功能 虚拟 化 的 概念 、 技 术 和 应 用 的 宽泛 且 透 彻 的 呈现 以 及 网 络 
虚拟 化 的 讨论 。 第 7 章 引 入 虚拟 机 的 概念 ， 然 后 关注 虚拟 机 技术 的 使 用 以 开发 基于 
NFV 的 网 络 环境 。 第 8 章 提供 了 NFV 功能 的 详细 讨论 。 第 9 章 关注 虚拟 网 络 的 传统 
概念 ， 然 后 审视 对 网 络 虚拟 化 更 为 现代 的 方法 ， 最 后 引入 软件 定义 基础 设施 的 概念 。 
用 户 需 求 的 定义 与 支撑 技术 。 与 SDN 和 NFYV 的 出 现 同样 重要 的 是 服务 质量 和 体验 
质量 的 演化 ， 它 样 决定 了 客户 需求 以 及 网 络 设计 如 何 响应 这 些 需 求 。 第 10 章 提供 了 
QoS 概念 和 标准 的 概述 。 近 来 QoS 已 经 扩展 为 QoE 的 概念 ，QoE 与 交互 式 视频 和 多 
媒体 网 络 流量 尤其 相关 。 第 11 章 提供 了 QoE 的 概述 并 讨论 了 一 些 实现 QoE 机 制 的 
实用 技术 。 第 12 章 进一步 展望 了 QoS 和 QoE 对 网 络 设计 的 影响 。 
现代 网 络 体系 结构 : 云 和 雾 。 云 计算 和 物 联 网 (IoT 有 时 被 称 为 雾 计 算 ) 是 两 种 占 支 
配 地 位 的 现代 网 络 体系 结构 。 前 面 各 部 分 讨论 的 技术 和 应 用 都 提供 了 云 计 算 和 IoT 
的 基本 原理 。 第 13 章 对 云 计算 进行 了 概述 。 该 章 从 基本 概念 的 定义 开始 ， 进 而 包括 
了 云 服务 、 部 署 模 型 和 体系 结构 ， 然 后 讨论 云 计算 和 SDN 以 及 NFV 之 间 的 关系 。 
第 14 章 介 绍 IoT 并 对 IoT 使 能 设备 的 关键 组 件 进行 详细 介绍 。 第 15 章 介 绍 几 种 oT 
体系 结构 模型 ， 然 后 描述 了 3 种 IoT 实现 的 实例 。 

相关 主题 。 讨 论 两 个 附加 主题 ， 这 些 主题 尽管 重要 但 并 不 方便 放 入 其 他 部 分 中 。 第 
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16 章 提供 了 随 着 现代 网 络 的 演化 而 出 现 的 安全 性 问题 的 分 析 。 在 不 同 的 段落 中 分 别 
涉及 SDN、NFV、 云 和 IoT 的 安全 性 。 第 17 章 讨论 职业 相关 的 问题 ， 包 括 各 种 网 络 
相关 工作 的 转换 角色 、 新 的 技能 要 求 以 及 读者 如 何 能 够 继续 接受 教育 以 在 现代 网 络 
环境 下 为 自己 的 职业 生涯 做 好 准备 。 


支持 网 站 
我 在 WilliamStallings.com/Network 维护 着 一 个 配套 网 站 ， 其 中 包括 每 章 的 相关 链接 列 
表 以 及 本 书 的 勘误 表 。 
我 也 在 ComputerScienceStudent.com 维护 着 计算 机 科学 学 生 资 源 站 点 ， 该 站 点 的 目的 是 
为 计算 机 科学 专业 的 学 生 和 业内 人 士 提供 文档 、 信 息 和 链接 。 链 接 和 文档 组 织 为 以 下 几 类 。 
o 数学 (Math) : 包括 基本 的 数学 知识 回顾 、 排 队 分 析 入 门 、 数 制 入 门 以 及 关于 许多 数 
学 站 点 的 链接 。 
e 如 何 做 (How-to): 针对 解答 课 后 作业 、 扎 写 技 术 报告 和 准备 技术 报告 的 建议 及 指导 。 
© 研究 资源 (Research resources): 关于 重要 的 论文 、 技 术 报告 和 参考 文献 的 链接 。 
e 其 他 有 用 资源 (Other useful); 其 他 有 用 的 多 种 文档 和 链接 。 
e 计算 机 科学 职业 (Computer science careers): 对 有 望 以 计算 机 科学 为 职业 的 人 有 用 的 
链接 和 文档 。 
e 写作 帮助 (Writing help): 帮助 成 为 更 清楚 、 更 有 效 的 写作 者 。 
e 不 同类 型 的 主题 和 幽默 Miscellaneous topics and humor): 学 习 和 工作 之 余 ， 轻 松 
一 刻 。 
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现代 网 络 





在 英国 海军 的 官方 历史 中 ， 该 行动 的 整个 过 程 被 描述 得 十 分 详尽 ， 那 些 对 它 的 
技术 方面 感 兴趣 的 人 使 用 了 极 好 的 图 表 来 对 其 进行 研究 。 整 个 过 程 非常 复杂 ， 没 有 
经 验 的 读者 往往 只 见 树 不 见 林 。 我 尝试 着 给 出 明白 易 懂 的 广泛 解释 。 

一 一 《世界 危机 》， 温 斯 顿 * LER 


第 1 章 现代 网 络 的 组 成 
第 2 章 需求 和 技术 


第 一 部 分 提供 了 现代 网 络 的 概述 和 本 书 其 余部 分 的 背景 。 第 1 章 是 构建 网 络 生态 系统 的 
元 素 的 综述 ， 包 括 网 络 技术 、 网 络 体系 结构 、 服 务 和 应 用 。 第 2 章 对 当前 网 络 环境 的 演化 需 
求 进行 了 审视 ， 并 提供 了 对 现代 网 络 关键 技术 的 预览 。 [3] 
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Foundations of Modern Networking: SDN,NFV, QoE, IoT, and Cloud 


现代 网 络 的 组 成 





有 证 据 表 明 计 算 机 网 络 对 社会 将 有 重大 影响 。 可 能 的 领域 是 经 济 、 资 源 、 小 型 
计算 机 、 人 与 人 交互 和 计算 机 研究 。 

一 一 《自动 化 能 做 什么 ? 》 

计算 机 科学 和 工程 研究 ， 自 然 科 学 基金 ，1980 


本 章 目 标 

学 完 本 章 后 ， 你 应 当 能 够 : 

© 解释 现代 网 络 生态 系统 的 重要 元 素 及 其 关系 ， 包 括 端 系 统 、 网 络 提供 商 、 应 用 程序 

提供 商 和 应 用 服务 提供 商 。 

© 讨论 接 人 网 、 分 发 网 和 核心 网 的 典型 网 络 层次 结构 的 动机 。 

e 给 出 以 太 网 的 概述 ， 包 括 讨论 它 的 应 用 领域 和 通常 的 数据 速率 。 

e 给 出 Wi-Fi 的 概述 ， 包 括 讨 论 它 的 应 用 领域 和 通常 的 数据 速率 。 

e 理解 5 代 蜂 窝 网 之 间 的 差异 。 

e 给 出 云 计 算 概念 的 概述 。 

e 描述 物 联 网 。 

© 解释 网 络 收敛 和 统一 通信 的 概念 。 

由 单一 厂商 如 IBM 公司 向 一 个 企业 的 信息 技术 (IT) 部 门 提供 所 有 的 产品 和 服务 ， 包 括 
计算 机 硬件 、 系 统 软件 、 应 用 软件 以 及 通信 和 网 络 设备 与 服务 ， 那 样 的 时 代 已 经 一 去 不 返 了 。 
今天 ， 用 户 和 企业 面 对 的 是 复杂 、 异 构 和 多 样 的 环境 ， 这 种 环境 要 求 复杂 、 先 进 的 解决 方案 。 

本 书 关注 以 下 两 个 方面 : 

© 支持 复杂 的 现代 网 络 的 设计 、 研 发 、 部 署 和 运行 的 网 络 技术 ， 特 别 是 包括 软件 定义 

网 络 (SDN)、 网 络 功 能 虚拟 化 (NFV)、 服 务 质 量 (QoS) 和 体验 质量 (QoE ) 。 
© 支配 现代 网 络 的 网 络 体系 结构 ， 而 现代 网 络 是 指 云 网 络 和 物 联网 (IoT)，IoT 也 称 为 
雾 网 络 。 

在 深入 探讨 这 些 技 术 之 前 ， 我 们 需要 概述 当前 的 网 络 环境 以 及 它 引 发 的 挑战 。 

本 章 简要 地 浏览 了 现代 网 络 的 重要 构件 。 我 们 从 典型 的 网 络 生态 系统 的 顶层 描述 开始 。 
然后 1.2 节 更 为 详细 地 考察 网 络 元 素 的 组 织 方式 。1.3 Wo 1.5 节 讨 论 支持 现代 网 络 生态 系统 
的 关键 高 速 网 络 技术 。 本 章 的 剩余 部 分 介绍 了 重要 的 体系 结构 和 应 用 程序 ， 它 们 是 生态 系统 
的 组 成 部 分 。 


1.1 网 络 生 态 系统 


1-1 以 非常 通用 的 词汇 描述 了 现代 网 络 生态 系统 。 整 个 生态 系统 向 端 用 户 提 供 服 务 。 
这 里 的 术语 端 用 户 (end user) 或 简称 用 户 是 一 个 非常 通用 的 词汇 ， 包 括 在 企业 、 公 共 场 合 或 
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家 中 工作 的 用 户 。 用 户 平台 可 以 是 固定 的 (例如 PC 和 工作 站 )、 可 携带 的 (例如 笔记 本 ) 或 
移动 的 (例如 平板 电脑 或 智能 手机 )。 


_“ 端 用 户 “ 计 算 平 台 上 的 应 用 程序 、 数 据 和 服务 的 最 终 消费 者 。 E 
用 户 通过 各 种 各 样 的 网 络 接 入 设施 与 

基于 网 络 的 服务 和 内 容 连接 。 这 些 设施 包 < -_ N 

括 数字 用 户 线 (DSL) 和 电缆 调制 解 调 器 、 & 提供 商 3> nan Ea 

Wi-Fi 和 微波 接 人 的 世界 范围 互 操作 能 力 SN Es 


( WiMAX) 无 线 调制 解 调 器 以 及 蜂窝 调制 
解 调 器 。 这 些 网 络 接 和 人 设施 使 得 用 户 能 够 
直接 与 因特网 或 各 种 各 样 的 网 络 提供 商 连 
接 ， 包括 Wi-Fi 网 络 、 蜂 窜 网 以 及 诸如 建 
筑 物 企业 网 这 样 的 专用 和 共享 的 网 络 设施 。 


jo 


网 络 提供 商 。 经 过 通常 是 大 地 理 区 
域 传递 通信 服务 的 组 织 。 它 提供 、 维 护 
并 管理 网 络 设施 和 公共 或 专用 的 网 络 。 


当然 ， 用 户 最 终 要 使 用 网 络 设施 接 
入 应 用 和 内 容 。 图 1-1 指示 了 与 用 户 相 关 
的 三 大 类 东西 。 应 用 提供 商 (application 
provider) 提供 了 运行 在 用 户 平台 之 上 的 








应 用 程序 或 app， 这 些 用 户 平台 通常 是 移 图 1-1 现代 网 络 生态 系统 
动 平 台 。 近 年 来 ， 对 于 固定 的 和 移动 的 平 
台 出 现 了 应 用 商店 的 概念 。 
应 用 提供 商 “ 生 产 、 销 售 在 用 户 平台 上 运行 的 用 户 应 用 程序 的 实体 。 [6] 


另 一 类 完全 不 同 的 提供 商 是 应 用 服务 提供 商 (application service provider)。 应 用 服务 提 
供 商 起 着 服务 器 或 在 提供 商 平台 上 执行 应 用 软件 的 主机 的 作用 ， 而 应 用 提供 商 将 软件 下 载 到 
用 户 平台 。 这 些 软件 的 传统 例子 包括 Web 服务 器 、 电 子 邮件 服务 器 和 数据 库 服务 器 。 目 前 
最 突出 的 例子 是 云 计算 提供 商 。 我 们 将 在 本 章 随后 和 在 第 13 章 中 讨论 后 一 种 类 别 。 
显示 在 图 1-1 中 的 最 后 一 个 组 件 是 内 容 提供 商 (content provider)。 内 容 提 供 商 提供 数据 
(例如 电子 邮件 、 音 乐 、 视 频 ) 供用 户 设 备 消费 。 这 些 数 据 可 能 提供 了 用 于 商业 的 知识 产权 。 
在 某 些 场合 ， 企 业 可 以 是 应 用 提供 商 或 内 容 提供 商 。 内 容 提供 商 的 例子 是 音乐 唱片 公司 和 电 
影 制 片 厂 。 





商 在 它 自 己 的 设施 中 支撑 软件 应 用 程序 的 组 织 机 构 。 它 提供 了 网 络 易 


王 接 入 的 应 用 程序 ， 例如 电子 邮件 网 站 托管 、 银 行业 务 和 基于 云 的 服务 。 


内 容 提供 商 ” 生 成 包括 教育 或 娱乐 内 容 的 信息 ， 并 经 过 因特网 或 企业 网 分 发 的 组 织 或 
个 人 。 内 容 提供 商 可 以 提供 或 不 提供 用 于 访问 这 些 料 料 的 软件 。 
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图 1-1 希望 对 网 络 生态 系统 提供 一 种 一 般 性 的 描述 。 这 里 值得 指出 的 是 ， 现 代 网 络 的 两 


个 主要 组 件 在 该 图 中 没有 明显 地 描述 出 来 。 


e 数据 中 心 网 络 : 大 型 企业 数据 中 心 和 云 提 供 商 数据 中 心 都 是 由 大 量 的 互联 服务 器 组 
成 的 。 通 常 ， 多 达 80% 的 数据 流量 位 于 数据 中 心 网 络 之 中 ， 仅 有 20% 的 数据 流量 依 
赖 外 部 网 络 到 达 用 户 。 

e oT RZA: 由 企业 网 部 署 的 物 联网 可 以 由 数 百 、 数 千 甚 至 数 百 万 设备 组 成 。 往 返 
于 这 些 设备 之 间 的 巨大 数据 流量 是 机 器 到 机 器 ， 而 不 是 用 户 到 机 器 。 

这 些 网 络 环境 中 的 每 个 都 产生 自己 的 特定 要 求 ， 本 书 将 逐步 讨论 这 些 要 求 。 


1.2 ”网络 体系 结构 的 例子 


本 节 介 绍 两 个 网 络 体系 结构 的 例子 ， 以 及 一 些 常 用 的 网 络 术 语 。 这 些 例 子 给 出 了 在 本 书 
中 涉及 的 网 络 体系 结构 的 某 些 概念 。 


1.2.1 全 球 性 网 络 的 体系 结构 


我 们 以 一 个 体系 结构 开始 ， 它 能 够 表示 一 个 国家 或 全 球 范围 的 企业 网 ， 或 某 些 与 之 相关 
的 因特网 的 一 部 分 。 图 1-2 显示 了 在 这 样 的 环境 中 使 用 的 某 些 典型 的 通信 和 网 络 组 件 。 

在 该 图 的 中 部 是 IP 主干 网 或 核心 网 ， 它 能 够 代表 因特网 的 一 部 分 或 一 个 企业 IP 网 。 通 
常 ， 主 干 由 称 为 核心 路 由 器 (core router) 的 高 性 能 路 由 器 组 成 ， 这 些 路 由 器 由 高 容量 光 链 
路 互联 。 这 些 光 链 路 经 常 利用 称 为 波 分 复 用 ( WDM) WER, GRAMMAR A SAL 
辑 信 道 ， 这 些 信 道 占据 着 光 链 路 带宽 的 不 同 部 分 。 


路 由 器 ”从 一 个 网 络 向 另 一 个 网 络 转发 数据 分 组 的 网 络 设备 。 转 发 决定 以 网 络 层 信 息 
和 路 由 表 为 基础 ， ei len BEARTA a 
式 ， 互 联网 协议 (IP) 是 全 球 标 准 cuca 


核心 路 由 器 “位 于 网 络 中 间 而 非 外 围 的 路 由 器 。 构 成 因特网 主干 的 路 由 器 都 是 核心 路 
由 器 。 l ji 


E IP 主干 的 外 围 是 一 些 提供 与 外 部 网 络 和 用 户 连接 的 路 由 器 .这些 路 由 器 有 时 被 称 为 
边缘 路 由 器 (edge router) 或 汇聚 路 由 器 (aggregation router)。 汇 聚 路 由 器 也 用 于 企业 网 中 ， 
以 将 一 些 路 由 器 和 交换 机 连接 到 外 部 资源 ， 如 IP 主干 或 高 速 WAN。 作 为 对 于 核心 和 汇聚 路 
由 器 能 力 需 求 的 示例 ，IEEE 以 太 网 带宽 评估 组 [XI11] 在 一 个 报告 中 分 析 了 中 国 对 因特网 主 
干 提供 商 和 大 型 企业 网 规划 的 需求 。 该 分 析 得 出 的 结论 是 ， 汇 聚 路 由 器 的 需求 到 2020 年 每 
条 光 链 路 将 达到 200Gbps ~ 400Gbps 的 范围 ， 到 2020 年 每 台 核 心路 由 器 的 每 条 光 链 路 将 达 
到 400Gbps ~ 1Tbps 的 范围 。 


。 边缘 路 由 器 ”位 于 网 络 外 围 的 路 由 器 。 也 称 为 接 入 路 由 器 或 汇聚 路 由 器 。 


1-2 的 上 半 部 分 描述 了 可 能 是 大 型 企业 网 的 一 部 分 。 该 图 显示 了 经 过 专用 高 速 WAN 
连接 的 网 络 的 两 个 部 分 ， 使 用 了 具有 光 链 路 互联 的 交换 机 。 使 用 IP 的 MPLS 是 一 种 用 于 这 
种 WAN 的 常用 交换 协议 ; 广 域 以 太 网 是 另 一 种 可 选 技术 。 企 业 资产 经 过 具有 防火 墙 能 力 的 
路 由 器 连接 到 IP 主干 或 因特网 ， 并 被 保护 起 来 ， 实 现 防火 墙 并 非 是 不 常见 的 安排 。 
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该 图 的 左下 部 分 描述 了 可 能 用 于 小 规模 或 中 等 规模 商务 的 网 络 布局 ， 它 依赖 于 一 个 以 太 
LAN。 通 过 使 用 缆 线 或 DSL 连接 或 一 条 专用 的 高 速 链 路 ， 将 路 由 器 与 因特网 相连 。 

图 1-2 的 下 部 显示 了 一 个 住宅 用 户 通 过 某 种 用 户 连接 与 因特网 服务 提供 商 (ISP) 连接 
的 情况 。 这 种 连接 的 常见 例子 是 DSL 和 电缆 电视 设施 ，DSL 通过 电话 线 提供 一 条 高 速 链 路 
并 且 要 求 一 个 特定 的 DSL 调制 解 调 器 。 电 缆 电 视 设 施 要 求 一 个 电缆 调制 解 调 器 或 某 种 类 型 
的 无 线 连接 。 每 种 情况 都 有 各 自 不 同 的 问题 ， 诸 如 信和 号 编码 、 差 错 控制 和 用 户 网 络 的 内 部 结 
构 等 。 





wae 号 5 © D @ Py 
核心 ”边缘 /汇聚 路 由 器 带 防 火 墙 的 以 太 网 ATM Wi-Fi 
路 由 器 。 路 由 器 路 由 器 “交换 机 “交换 机 FAA 


图 1-2 全 球 性 网 络 的 体系 结构 






<i Pt Aen Ea. 在 广 域 亿 网 络 或 其 全 
AN 中 用 于 引导 分 组 。MPLS 为 每 个 分 组 增加 一 个 32 位 的 标签， 以 改善 网 络 效率 ， 合 路 
a 合 要 求 的 服务 质量 的 预定 路 由 前 行 。 


最 后 ， 诸如 智能 手机 平板 电脑 等 移动 设备 能 够 通过 公共 蜂窝 网 与 因特网 相连 ， 蜂 窜 网 通 
常 是 高 速 连接 ， 使 用 光缆 与 因特网 相连 。 
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1.2.2 ”典型 的 网 络 层 次 结构 


本 节 关 注 在 许多 企业 网 中 常见 的 网 络 体系 结构 及 某 些 变型 。 如 图 1-3 所 示 ， 企 业 通常 将 
9 ] 其 网 络 设施 设计 为 三 个 层次 : 接 人 、 分 发 和 核心 。 





个 人 计算 机 ”本 地 服务 器 
图 1-3 典型 的 网 络 层次 结构 


最 靠近 端 用 户 的 是 接 入 网 (access network)。 接 人 网 通常 是 一 个 由 局 域 网 (LAN) 交换 
机 (通常 是 以 太 交换 机 ) 组 成 的 LAN 或 园区 范围 的 网 络 ， 在 较 大 型 的 LAN 中 ，IP 路 由 器 为 
交换 机 之 间 提 供 连接 。 第 3 层 交 换 机 (layer 3 switch) (图 中 没有 显示 ) 也 常常 用 于 LAN 中。 
接 入 网 支持 端 用 户 设备 ， 例 如 桌面 计算 机 、 便 携 机 和 移动 设备 。 接 入 网 也 支持 主要 或 专门 为 
本 地 接 人 网 络 的 用 户 提供 服务 的 本 地 服务 器 。 


接 入 网 直接 与 端 用 户 或 客户 连接 的 网 络 。 ， 


第 3 层 (L3 ) 交换 机 用 于 网 络 路 由 选择 的 一 种 高 性 能 设备 。 第 3 层 交 换 机 非常 类 似 
A ee 
; be B i 传统 的 | n haah a A S . 





一 各 或 多 台 接 入 路 由 器 将 本 地 资产 连接 到 层次 结 吉 构 的 较 高 层次 ， 即 连接 到 分 发 网 上 。 

该 连接 可 以 经 过 因特网 或 某 些 其 他 公共 或 专用 通信 设施 。 因 此 ， 如 上 一 小 节 所 述 ， 这 些 接 

入 路 由 器 的 功能 是 作为 将 流量 转发 进入 和 外 出 接 入 网 的 边缘 路 由 器 。 对 于 一 个 大 型 本 地 设 

施 ， 可 以 有 另外 的 接 人 路 由 器 来 提供 内 部 路 由 ， 而 不 是 起 边缘 路 由 器 (在 图 1-2 中 没有 显 
示 ) 的 作用 。 

分 发 网 ( distribution network) 将 接 人 网 彼此 相连 并 将 它们 与 核心 网 相连 。 在 分 发 网 中 

的 边缘 路 由 器 连 到 接 入 网 中 的 边缘 路 由 器 以 提供 连通 性 。 两 台 路 由 器 被 配置 为 相互 认可 ， 通 
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常 将 交换 路 由 选择 和 连通 性 信息 ， 以 及 某 些 流量 相关 的 信息 。 路 由 器 间 的 这 种 合作 称 为 对 等 
(peering)。 分 发 网 也 用 于 汇聚 发 往 核心 路 由 器 的 流量 ， 这 保护 了 核心 网 免 受 高 密度 的 对 等 操 
作 。 也 就 是 说 ， 分 发 网 的 使 用 限制 了 与 核心 网 中 边缘 路 由 器 创建 对 等 关系 的 路 由 器 的 数量 ， 
节省 了 内 存 、 处 理 和 传输 能 力 。 分 发 网 也 能 够 与 服务 器 直接 相连 ， 而 这 些 数据 库 服务 器 和 网 
络 管理 服务 器 为 多 个 接 人 网 所 使 用 。 


分 发 网 将 接 入 网 连接 到 核心 网 的 网 络 。 


对 等 EOP dd i eis 
路 由 选择 信息 的 交换 。 


同样 ， 如 同 接 入 网 一 样 ， 某 些 分 发 路 由 器 可 能 只 是 用 于 内 部 ， 并 不 提供 边缘 路 由 器 功能 。 

核心 网 (core network) 也 称 为 主干 网 (backbone network)， 连 接地 理 上 分 散 的 分 发 网 ， 
并 提供 到 非 企 业 网 一 部 分 的 其 他 网 络 的 接 入 。 通 常 ， 核 心 网 将 使 用 性 能 很 高 的 路 由 器 、 高 容 
量 传输 链 路 和 多 重 连接 的 路 由 器 以 增加 元 余 和 容量 。 核 心 网 也 能 够 连接 高 性 能 、 高 容量 服务 
器 ， 诸 如 大 型 数据 库 服 务 器 和 专用 云 设 施 。 某 些 核 心路 由 器 可 能 只 是 内 部 的 ， 提 供 元 余 和 附 
加 的 容量 ， 而 不 用 作 边 缘 路 由 器 。 


核心 /主干 网 提供 网 络 服务 的 中 心 网 络 ， 以 连接 分 发 网 和 接 入 网 。 也 被 称 为 主干 网 。 


网 络 的 体系 结构 层次 是 好 的 模块 化 设计 的 范例 。 使 用 这 种 设计 ， 网 络 设备 (路 由 器 、 交 
换 机 和 网 络 管理 服务 器 ) 的 功能 能 够 根据 它们 在 等 级 结构 的 特定 位 置 和 在 给 定 等 级 结构 层次 
的 要 求 进行 优化 。 


1.3 WAM 


继续 前 面 两 节 的 自 上 而 下 的 方法 ， 下 面 三 节 分 别 关注 以 太 网 、Wi-Fi 和 4G/5G 蜂窝 网 的 
关键 网 络 传输 技术 。 这 些 技术 的 每 一 种 已 经 演化 为 支持 非常 高 速 的 数据 率 。 这 些 数据 率 支 持 
企业 和 客户 需要 的 许多 多 媒体 应 用 ， 与 此 同时 ， 对 网 络 交换 设备 和 网 络 管理 设施 提出 很 多 要 
求 。 对 这 些 技术 的 全 面 讨论 超出 了 本 书 的 范围 。 这 里 ， 我 们 仅 提 供 一 个 概览 。 

本 节 以 讨论 以 太 网 应 用 开始 ， 然 后 学 习 它 们 的 标准 和 性 能 。 


以 太 网 一 种 有 线 局 域 网 的 商业 名 称 。 它 涉及 使 用 共享 物理 媒体 、 媒体 访问 控制 协议 
以 及 以 分 组 来 传输 数据 。 以 大 网 产品 的 标准 是 由 IEEE 802.3 委员 会 定义 的 。 


1.3.1 ”以太 网 应 用 


以 太 网 是 占 主导 地 位 的 有 线 网 络 技 术 ， 被 用 于 家 庭 、 办 公 室 、 数 据 中 心 、 企 业 和 WAN 
中 。 随 着 以 太 网 已 经 演化 到 支持 数据 率 高 达 100Gbps， 距 离 从 几米 到 几 十 千 米 ， 它 已 经 成 为 
大 小 组 织 机 构 中 支持 个 人 计算 机 、 工 作 站 、 服 务 器 和 大 容量 数据 存储 设备 必 不 可 少 的 网 络 。 

家 庭 中 的 以 太 网 

以 太 网 用 于 家 庭 中 已 有 很 长 时 间 了 ， 生 成 的 计算 机 局 域 网 经 过 宽带 调制 解 调 器 /路 由 器 
接 人 因特网 。 随 着 计算 机 、 平 板 电脑 、 智 能 手机 、 调 制 解 调 器 /路 由 器 和 其 他 设备 上 高 速 、 
低 成 本 Wi-Fi 的 可 用 性 日 益 增 强 ， 家 庭 对 以 太 网 的 依赖 程度 已 经 降低 。 无 论 如 何 ， 几 乎 所 有 
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家 庭 网 络 设置 都 包括 了 某 种 形式 的 以 太 网 使 用 。 

以 太 网 技术 近来 的 两 种 扩展 已 经 加 强 和 扩展 了 以 太 网 在 家 庭 中 的 使 用 : 电力 线 载波 
(Powerline Carrier, PLC) 和 以 太 网 供电 (Power over Ethernet，PoE)。 电 力 线 调制 解 调 器 利 
用 现 有 的 电力 线 并 且 使 用 电线 作为 通信 信道 在 电源 信号 之 上 传输 以 太 网 分 组 。 这 使 得 家 庭 中 
所 有 的 以 太 网 使 能 的 设备 都 能 包括 进 以 太 网 中 。PoE 以 一 种 补充 的 方式 起 作用 ， 通 过 以 太 网 
数据 电缆 分 发 能 源 。PoE 使 用 现 有 的 以 太 网 电缆 向 网 络 上 的 设备 供电 ， 因 此 简化 了 诸如 计算 
机 和 电视 等 设备 的 布线 。 

拥有 所 有 这 些 以 太 网 选项 的 以 太 网 将 在 家 庭 网 络 中 保持 强势 地 位 ， 与 Wi-Fi 的 优势 互 为 
补充 。 

办 公 室 中 的 以 太 网 

以 太 网 在 办 公 环 境 中 用 于 有 线 局 域 网 一 直 是 首屈一指 的 网 络 技术 。 早 在 还 有 某 些 如 
IBM 的 令 牌 环 LAN 和 光纤 分 布 式 数据 接口 (FDDI) 等 竞争 技术 时 ， 以 太 网 硬件 就 凭借 其 简 
单 、 高 性 能 和 广泛 可 用 性 最 终 使 得 以 太 网 成 为 赢家 。 今 天 ， 与 家 庭 网 络 一 样 ， 有 线 以 太 网 技 
术 与 无 线 Wi-Fi 技术 如 影 相 随 。 在 典型 的 办 公 环 境 中 大 量 流量 经 Wi-Fi 传输 ， 特 别 是 支持 移 
动 设备 。 以 太 网 能 够 高 速 支持 许多 设备 ， 不 容易 被 干扰 ， 不 容易 被 窃听 故而 能 提供 安全 性 ， 
这 些 优点 使 得 它 保持 着 流行 性 。 因 此 ， 以 太 网 和 Wi-Fi 的 结合 是 最 常见 的 体系 结构 。 

图 1-4 提供 了 一 个 企业 LAN 体系 结构 的 简化 例子 。 该 LAN 经 过 防火 墙 与 因特网 /WAN 
连接 。 路 由 器 和 交换 机 的 层次 安排 提供 了 与 服务 器 、 固 定 的 用 户 设 备 和 无 线 设备 的 互联 。 无 
线 设备 通常 仅 与 分 层 体 系 结构 的 边缘 或 底层 连接 ; 该 园区 基础 设施 的 其 他 部 分 都 是 以 太 网 。 
在 企业 网 中 也 有 用 于 电话 操作 的 全 电 话 服务 器 ,该 服务 器 提供 呼叫 控制 功能 (语音 交换 )， 

12) 能 够 与 公共 交换 电话 网 (PTSN) 互联 互通 。 





物理 连接 的 
设备 


图 1-4 一 个 基本 的 企业 LAN 体系 结构 


企业 中 的 以 太 网 
以 太 网 巨大 的 优势 是 能 够 使 用 相同 的 以 太 网 协议 和 相关 的 服务 质量 (QoS) 以 及 安全 标 
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准 扩展 网 络 ， 既 能 在 距离 也 能 在 数据 率 上 扩展 网 络 。 企 业 能 够 很 容易 地 将 一 个 以 太 网 扩展 到 
相同 园区 的 几 个 建筑 物 之 间 甚 至 几 个 距离 分 开 的 地 方 ， 速 率 从 10Mbps 到 100Gbps PE, F 
使 用 不 同 的 电缆 类 型 和 以 太 网 硬件 。 因 为 所 有 硬件 和 通信 软件 都 符合 相同 的 标准 ， 容 易 混 
合 使 用 不 同 的 速率 和 不 同 厂商 的 设备 。 单 个 房间 中 的 极 高 速 互联 的 数据 服务 器 和 分 布 在 建 
筑 物 中 的 服务 器 、 工 作 站 ， 以 及 链接 到 远 达 100km 的 其 他 建筑 物 中 的 以 太 网 都 使 用 相同 的 
协议 。 

数据 中 心中 的 以 太 网 

和 在 其 他 领域 一 样 ， 以 太 网 完成 了 在 数据 中 心 的 “一 统 天 下 ”"， 数 据 中 心 需要 非常 高 的 
数据 率 ， 以 处 理 网 络 服务 器 和 存储 单元 之 间 的 大 量 数据 。 历 史上 ， 数 据 中 心 应 用 了 各 种 各 样 
的 技术 来 支持 高 容量 、 短 距离 的 需求 ， 包 括 InfiniBand 和 光纤 信道 。 但 是 现在 以 太 网 能 够 扩 
展 到 高 达 100Gbps， 几 乎 肯定 会 很 快 发 展 到 400Gbps， 一 种 统一 协议 方法 遍及 企业 的 情况 是 
很 有 竞争 力 的 。 

这 种 新 型 以 太 网 方法 的 两 种 特性 值得 注意 。 对 于 位 于 相同 位 置 的 服务 器 和 存储 单元 ， 高 
速 以 太 网 光纤 链 路 和 交换 机 提供 了 所 需 的 网 络 基础 设施 。 以 太 网 另 一 个 重要 的 版 本 称 为 背 板 
(backplane) 以 太 网 。 背 板 以 太 网 运行 在 铜 质 跳 线 之 上 ， 该 电缆 能 够 在 很 短 的 距离 上 提供 高 
达 100Gbps 的 速率 。 这 种 技术 对 于 刀片 服务 器 ( blade server) 十 分 理想 ， 在 这 种 服务 器 上 多 
个 服务 器 模块 都 位 于 同一 块 背 板 之 上 。 


刀片 服务 器 一 种 在 单一 - 背 板 上 容纳 多 个 服务 器 模块 (刀片) 的 服务 器 体系 结构 。 它 
广泛 用 于 数据 中 心 ， 以 节省 空间 和 改善 系统 管理 。 不 管 是 单独 存在 还 是 机 架 安装 的 ， Hh 
提供 电源 供给 ， 并 且 每 个 刀片 拥有 自己 的 CU、 内存 和 硬盘 。 


用 于 广域网 的 以 太 网 

直到 最 近 ， 以 太 网 才 并 非 是 广域网 的 一 种 重要 因素 。 但 是 更 多 的 电信 和 网 络 提供 商 逐 渐 
从 其 他 方案 转移 到 以 太 网 上 来 了 ， 以 支持 广 域 接 入 (也 称 为 第 一 英里 “或 最 后 一 英里 )。 以 
太 网 正在 取代 形形色色 的 其 他 广域网 选项 ， 例 如 专用 T 线路、 同步 数字 等 级 (SDH) 线路 
和 异步 传递 方式 ( ATM)。 当 以 这 种 方式 使 用 时 ， 应 用 了 词汇 承载 以 太 网 (carrier Ethernet), 
也 可 使 用 词汇 城 域 以 太 网 (metro Ethernet) 或 城 域 网 以 太 网 ( metropolitan-area network 
Ethernet)。 以 太 网 具有 无 颖 地 与 它 提供 的 广 域 接 入 融 为 一 体 的 优点 。 而 更 为 重要 的 优点 在 于 
相对 于 传统 的 广 域 接 入 方式 ， 承 载 以 太 网 提供 了 对 所 使 用 的 数据 率 容量 更 大 的 灵活 性 。 

承载 以 太 网 是 一 种 增长 最 快 的 以 太 网 技术 ， 其 目标 是 成 为 支配 性 手段 ， 企 业 用 此 访问 广 
域 网 和 因特网 设施 。 


1.3.2 ”标准 


在 IEEE 802 LAN 标准 委员 会 中 ，802.3 组 负责 发 布 关于 LAN 的 标准 ， 商 业 上 称 为 以 
太 网 。 与 802.3 委员 会 的 工作 形成 互补 ， 称 为 以 太 网 联盟 的 产业 组 织 支 持 和 发 起 从 孵化 新 型 
以 太 网 技术 到 互 操作 测试 、 演 示 、 教 育 等 的 活动 。 


IEEE 802 电气 和 电子 工程 师 协 会 (IEEE) 负责 研发 无 线 LAN 标准 的 委员 会 。 


© 1 英里 =1 609.344 米 。 一 一 编辑 注 
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1.3.3 WAM RRS 


当前 ， 以 太 网 系统 可 用 的 速率 高 达 100 Gbps。 这 里 有 一 个 简要 的 编 年 表 。 
e 1983 年 : 10Mbps 
e 1995 年 : 100Mbps 
14] e 1998 年 : 1Gbps 
e 2003 年 : 10 Gbps 
e 2010 年 : 40Gbps 和 100Gbps 
在 本 书写 作 时 ，2.5、5、25、50 和 400Gbps 的 标准 将 很 快 问世 (参见 图 1-5 )。 


1Tbps m 
100 Gbps 
10 Gbps 
1 Gbps 


100 Mbps 


1Mbps “Toss 1990 1995 2000 2005. 2010 2015 
1983 2017 (年 ) 


个 = 以太 网 (=wiFi 


图 1-5 以 太 网 和 Wi-Fi 大 事 年 表 





1Gbps 以 太 网 
ATEAK, WRH 10Mbps 以 太 网 标准 对 于 大 多 数 办 公 室 环境 而 言 是 够 用 了 。 到 了 20 
世纪 90 年 代 早期 ， 为 在 典型 LAN 上 支持 正在 增长 的 流量 负载 ， 显 然 需要 更 高 的 数据 速率 。 
15] 关键 的 驱动 因素 包括 下 列 几 个 方面 。 

e 集中 式 服务 器 群 : 在 许多 多 媒体 应 用 中 ， 对 客户 系统 而 言 存在 着 能 够 从 多 台 集 中 式 
服务 器 获取 巨 量 数据 的 需求 ， 这 些 集中 式 服务 器 称 为 服务 器 群 。 随 着 服务 器 性 能 的 
增加 ， 网 络 逐 渐 成 为 瓶颈 。 

e 强势 工作 组 : 这 些 组 通常 是 由 少量 协作 用 户 组 成 ， 这 些 用 户 需 要 跨 网 络 交 换 大 量 数 
据 文件 。 应 用 的 例子 如 软件 研发 和 计算 机 辅助 设计 。 

。 高 速 本 地 主干 : 随 着 处 理 需求 的 增长 ,企业 研发 了 有 具 有 高 速 主干 网 络 来 互联 多 个 
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LAN 的 体系 结构 。 

为 了 满足 这 些 需 求 ，IEEE 802.3 委员 会 研发 了 用 于 100Mbps 速率 的 以 太 网 规范 ， 几 年 
后 又 研发 了 1Gbps 系列 标准 。 在 每 种 情况 下 ， 新 规范 定义 的 传输 媒体 和 传输 编码 方案 都 以 
基本 以 太 网 框架 为 基础 ， 这 使 得 过 渡 方 案 比 发 布 全 新 规范 更 为 容易 。 

10Gbps 以 太 网 

甚至 在 1Gbps 以 太 网 规范 墨迹 未 干 之 时 ， 局 域 流 量 的 持续 增长 已 经 使 得 该 规范 无 法 满 
足 近期 的 需求 了 。 相 应 地 ，IEEE 802.3 委员 会 很 快 就 发 布 了 10Gbps 以 太 网 标准 。 对 10Gbps 
以 太 网 的 主要 驱动 需求 是 内 联网 (本 地 互相 连接 的 网 络 ) 流量 以 及 因特网 流量 的 增长 。 造 成 
因特网 和 内 联网 流量 爆炸 性 增长 的 一 些 因 素 包括 : 

e 网 络 连接 数量 的 增长 

o 每 个 端 工作 站 连接 速率 的 增长 (例如 ，10Mbps 用 户 升级 为 100Mbps， 模 拟 56kbps 用 

户 升级 为 DSL 和 电缆 调制 解 调 器 ) 

。 部 署 诸如 高 质量 视频 等 带宽 密集 型 应 用 的 增长 

e 网 站 托管 和 应 用 托管 流量 的 增长 

开始 ， 网 络 管理 员 使 用 10Gbps 以 太 网 提供 大 容量 交换 机 之 间 的 高 速 、 本 地 主干 互联 。 
随 着 带宽 增长 的 需求 ，10Gbps 以 太 网 开始 在 整个 网 络 中 部 署 ， 以 包括 服务 器 群 、 主 干 和 园 
区 范围 的 连接 。 这 种 技术 使 得 ISP 和 网 络 服务 提供 商 (NSP) 在 位 于 同一 位 置 的 承载 商 等 级 
的 交换 机 和 路 由 器 之 间 以 极 低 成 本 产生 非常 高 速 的 链 路 。 这 种 技术 也 允许 在 园区 网 或 存在 点 
(PoP) 之 间 通 过 连接 地 理 上 分 散 的 LAN 来 构造 城 域 网 和 广域网 。 

100Gbps 以 太 网 

IEEE 802.3 委员 会 很 快 就 意识 到 有 比 10Gbps 更 快 的 数据 速率 需求 ， 以 支持 因特网 
交换 、 高 性 能 计算 和 按 需 视 频 交 付 。 由 于 认识 到 汇聚 网 络 的 需求 和 端 工作 站 的 需求 正在 
以 不 同 速 率 增长 的 要 求 ， 授 权 请 求 调 整 用 于 两 个 不 同 数据 率 的 新 标准 的 需求 (40Gbps 和 
100Gbps) 。 

针对 100Gbps 以 太 网 的 市 场 驱动 如 下 。 

e 数据 中 心 / 因特网 媒体 提供 商 : 为 了 支持 因特网 多 媒体 内 容 和 Web 应 用 的 增长 A 

容 提 供 商 扩展 了 数据 中 心 ， 将 10Gbps 以 太 网 推 向 了 它 的 极限 。 很 可 能 成 为 高 容量 
100Gbps 以 太 网 的 早期 采用 者 。 
o 地 铁 视频 / 服务 提供 商 : 按 需 视频 驱动 了 新 一 代 10Gbps 以 太 网 城 域 网 /核心 网 建设 。 
很 可 能 在 中 期 成 为 高 容量 采用 者 。 

e 企业 LAN : 语音 /视频 /数据 汇聚 和 统一 通信 的 持续 发 展 提升 了 网 络 交换 需求 。 然 
in” is eee E he si TM BE cn 
以 太 网 的 很 可 能 较 少 。 

© 因特网 交换 /ISP 核心 路 由 选择 : 随 着 巨 量 的 流量 通过 这 些 结 点 ， 这 些 设施 很 可 能 成 
为 100Gbps 以 太 网 的 早期 采用 者 。 

图 1-6 显示 了 一 个 100Gbps 以 太 网 应 用 的 例子 。 在 具有 大 量 成 排 刀 片 服 务 器 的 大 型 数据 
中 心中 ， 其 趋势 是 在 每 台 服 务 器 上 部 署 10Gbps 端口 ， 以 处 理由 这 些 服务 器 提供 的 巨 量 多 媒 
体 流 量 。 通 常 ， 一 台 刀 片 服务 器 机 架 将 包括 多 人 台 服 务 器 并 且 一 台 或 多 台 10Gbps 以 太 网 交换 
机 以 互联 所 有 服务 器 ， 并 且 为 该 设施 的 其 他 部 分 提供 连接 。 这 些 交 换 机 通常 安装 在 机 架 中 ， 
并 称 为 机 架 顶 部 (ToR ，top-of-rack) 交换 机 。 词 汇 ToR 已 经 成 为 服务 器 接 人 交换 机 的 同 义 
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词 ， 即 使 它 不 位 于 “机 架 顶 部 ”也 是 如 此 。 对 于 诸如 云 提 供 商 这 样 非常 大 的 数据 中 心 ， 用 附 
加 的 10Gbps 交换 机 互联 多 个 刀片 服务 器 机 架 越 来 越 不 适当 了 。 为 了 处 理 增长 的 流量 负载 ， 
需要 运行 速率 大 于 10Gbps 的 交换 机 ， 以 支持 服务 器 机 架 的 互联 ， 并 且 通 过 网 络 接口 控制 器 


(NIC) 提供 足够 的 能 力 来 连接 站 外 。 


附加 的 刀片 


10GbE& 





i arctan 


图 1-6 大 量 刀 片 服务 器 云 场所 的 配置 


25/50Gbps 以 太 网 

实现 100Gbps 的 一 种 可 能 方案 是 将 其 作为 4 个 25Gbps 物理 通道 。 因 此 ， 研 制 分 别 使 用 
1 个 或 2 个 通道 的 25Gbps 和 50Gbps 以 太 网 的 标准 将 相对 容易 。 对 于 100Gbps 技术 ， 具 有 
这 样 两 种 较 低 速 可 选 方案 将 为 用 户 提供 更 多 的 灵活 性 ， 以 容易 扩展 为 较 高 数据 速率 的 解决 方 
案 来 满足 当前 和 近期 的 需求 。 

这 种 考虑 导致 由 一 些 主流 云 网 络 提供 商 组 成 的 25Gbps 以 太 网 联盟 的 出 现 ， 这 些 提供 商 
包括 谷歌 和 微软 公司 。 该 联盟 的 目标 是 支持 工业 标准 、 互 操作 以 太 网 规范 ， 该 规范 能 够 提升 
性 能 并 大 幅 降低 NIC 与 ToR 交换 机 之 间 每 Gbps 的 互联 成 本 。 由 该 联盟 采用 的 规范 描述 了 
一 种 单 通道 25Gbps 以 太 网 和 双 通 道 50Gbps 以 太 网 链 路 协议 ， 使 得 在 机 架 端 点 和 交换 机 之 
间 每 物理 通道 的 屏蔽 双 线 铜 质 馈 线 上 ， 与 10Gbps 和 40Gbps 以 太 网 链 路 相 比 提升 了 2.5 倍 。 
IEEE 802.3 委员 会 正在 致力 于 研发 所 需要 的 25Gbps 和 可 能 包括 50Gbps 的 标准 。 

现在 评价 这 些 各 种 各 样 的 选项 (25,40,50, 100Gbps) 在 市 场 上 的 表现 如 何 还 为 时 尚 早 。 
在 中 期 ，100Gbps 交换 机 很 可 能 主宰 大 型 场所 ， 而 这 些 较 慢 且 较 便 宜 的 可 用 替代 方案 将 为 企 
业 满足 不 断 增长 的 需求 提供 多 种 扩展 的 途径 。 

400Gbps 以 太 网 

需求 的 增长 绝 不 会 使 我 们 止步 。IEEE 802.3 当前 正在 探讨 产生 400Gbps 标准 的 技术 ， 
尽管 目前 尚 无 时 间 表 。 回 顾 走 过 的 里 程 碑 ， 最 终 将 产生 1Tbps 标准 已 成 广泛 共识 。 
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2.5/5Gbps WAR 

因为 以 太 网 的 多 用 途 和 无 所 不 在 的 实证 ， 以 及 与 此 同时 更 高 数据 速率 不 断 被 标准 化 ， 研 
发 两 种 较 低速 率 ( 2.5SGbps 和 SGbps) 的 标准 已 经 取得 共识 。 这 些 相 对 低 的 速率 被 称 为 多 速 
率 吉 比 特 BASE-T (MGBASE-T)。 当 前 MGBASE-T 联盟 正在 IEEE 之 外 监管 这 些 标准 的 研 
发 。IEEE 802.3 委员 会 最 终 很 可 能 会 基于 这 些 努力 发 布 这 些 标准 。 

这 些 新 的 数据 速率 主要 希望 支持 IEEE 802.11ac 无 线 流 量 进 入 有 线 网 络 。IEEE 802.11ac 
是 一 种 3.2Gbps Wi-Fi 标 准 ， 该 标准 在 需要 超过 1Gbps 吞吐 量 的 场合 (例如 在 办 公 室 环境 中 
支持 移动 用 户 ) 获得 认可 。 这 种 新 无 线 标 准 延伸 到 支持 1Gbps 以 太 网 链 路 ， 但 还 没有 要 求 下 
一 个 更 高 的 标准 ( 即 10Gbps)。 假 定 2.5Gbps 和 SGbps 能 够 在 支持 1Gbps 的 相同 电缆 上 工 
作 ， 这 将 为 支持 802.11ac 无 线 电 的 接 人 点 具有 高 带宽 能 力 提供 更 多 所 需 上 行 速率 的 改进 。 


1.4 Wi-Fi 


正如 以 太 网 已 经 成 为 有 线 LAN 处 于 支配 地 位 的 技术 ， 由 IEEE 802.11 委员 会 标准 化 的 
Wi-Fi 已 经 成 为 无 线 LAN 处 于 支配 地 位 的 技术 。 本 节 概 述 讨论 了 Wi-Fi 应 用 ， 然 后 审视 了 标 
准 和 性 能 。 


O WiFi 是 指 由 IEEE . 802. 11 委员 会 标准 化 的 无 线 LAN 技术 。 术语 Wi-Fi 标示 该 产品 
已 被 Wi-Fi 联盟 认证 、 符 合 802.11 标准 并 且 已 经 通过 互 操作 测试 。 


1.4.1 Wi-Fi 应 用 


Wi-Fi 是 一 种 处 于 支配 地 位 的 无 线 因特网 接 入 技术 ,用 于 家 庭 、 办 公 室 和 公共 场合 。 家 
REPAY Wi-Fi 现在 连接 计算 机 、 平 板 电脑 、 智 能 手机 和 电子 设备 (如 视频 照相 机 、 电 视 和 恒 
温 器 ) 的 主机 。 企 业 中 的 Wi-Fi 已 经 成 为 强化 生产 力 和 网 络 有 效 性 的 基本 手段 。 另 外 ， 公 共 
Wi-Fi 热点 已 经 急剧 增长 ， 以 在 必 备 的 公共 场所 提供 免费 的 因特网 接 人 。 

家 庭 Wi-Fi 

家 庭 Wi-Fi 最 重要 的 应 用 是 代替 以 太 网 电缆 来 连接 彼此 的 桌面 和 便携 计算 机 以 及 连接 因 
特 网 。 一 种 典型 的 布局 方式 是 与 路 由 器 / 调制解调器 连接 的 桌面 计算 机 提供 一 个 到 达 因 特 网 
的 接口 ， 其 他 桌面 和 便携 计算 机 或 经 以 太 网 ， 或 经 Wi-Fi 与 该 中 心路 由 器 相连 ， 这 样 所 有 的 
家 庭 计 算 机 都 能 够 相互 通信 或 与 因特网 通信 。Wi-Fi 大 大 地 简化 了 转 接 需 求 。 不 仅 没有 物理 
电缆 转 接 的 必要 ， 而 且 便携 机 能 够 从 一 个 房间 移动 到 其 他 房间 甚至 移动 到 户外 。 

SK, RE Wi-Fi 的 重要 性 得 到 了 极 大 提升 。Wi-Fi 现在 是 互联 家 庭 计算 机 网 络 的 默认 
方案 。 因 为 Wi-Fi 和 蜂窝 能 力 现在 是 智能 手机 和 平板 电脑 的 标准 ， 家 庭 Wi-Fi 提供 了 一 种 连 
接 因特网 的 高 性 价 比 的 方式 。 如 果 可 能 ， 智 能 手机 或 平板 电脑 将 自动 使 用 Wi-Fi 连接 ， 仅 当 
Wi-Fi 连接 不 可 用 时 才 会 切换 到 更 昂贵 的 蜂窝 连接 。Wi-Fi 对 于 实现 因特网 最 新 的 演化 ( 物 联 
网 ) 非常 重要 。 

公共 Wi-Fi 

经 过 Wi-Fi 接 入 因特网 在 近年 得 到 了 飞速 发 展 ， 因 为 越 来 越 多 的 设施 提供 Wi-Fi 热点 ， 
在 咖啡 店 、 餐 馆 、 火 车 站 、 飞 机 场 、 图 书馆 、 旅 馆 、 医 院 、 百 货 公司 、 旅 行 房车 停车 场 和 许 
多 其 他 地 方 ， 这 些 热 点 使 Wi-Fi 设备 能 够 连接 。 有 许多 热点 可 供 使 用 ， 而 它们 彼此 相距 较 远 
的 情况 较为 少见 。 现 在 有 许多 平板 电脑 和 智能 手机 的 应 用 程序 变 得 更 加 便利 。 
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即使 是 非常 遥远 的 地 方 也 将 能 够 通过 发 展 卫星 Wi-Fi 支持 热点 。 研 制 这 种 产品 的 第 一 家 
公司 是 卫星 通信 公司 镶 。 卫 星 调制 解 调 器 最 初 提 供 一 条 相对 低速 的 连接 ,但 它 的 数据 率 将 不 
可 避免 地 提升 。 

企业 Wi-Fi 

在 企业 中 ， 能 最 清楚 地 观察 到 Wi-Fi 的 经 济 效益 。 对 企业 网 的 Wi-Fi 连接 已 经 由 不 同 规 
模 的 许多 组 织 机 构 所 提供 ， 包 括 公 共和 专用 部 门 。 但 在 近 些 年 ，Wi-Fi 的 使 用 得 到 了 飞速 扩 
展 ， 已 经 达到 了 这 样 的 程度 : 大 约 企 业 网 所 有 流量 的 一 半 是 经 Wi-Fi 而 不 是 经 传统 以 太 网 传 
输 的 。 两 种 趋势 驱动 着 向 以 Wi-Fi 为 中 心 的 企业 变迁 。 首 先 ， 随 着 越 来 越 多 的 雇员 愿意 使 用 
便携 机 、 平 板 电脑 和 智能 手机 而 不 是 桌面 计算 机 与 企业 网 连接 ， 需 求 得 到 增加 。 其 次 ， 吉 
比特 以 太 网 特别 是 IEEE 802.11ac 标准 的 到 来 ， 使 得 企业 网 支持 与 许多 移动 设备 同时 高 速 
连接 。 

现在 的 企业 Wi-Fi 部 署 通常 提供 了 无 所 不 在 的 覆盖 ， 包 括 主要 的 办 公 室 和 远程 设施 及 其 
室内 和 室外 空间 ， 而 Wi-Fi 曾经 只 是 设计 提供 一 种 附属 网 络 ， 用 来 覆盖 会 议和 公共 场所 。 企 
业 接 受 并 且 开 始 鼓 励 这 种 称 为 “ 带 你 自己 的 设备 (BYOD)” 的 需求 。 在 便携 机 、 平 板 电脑 
和 智能 手机 上 Wi-Fi 能 力 的 几乎 无 所 不 在 的 可 用 性 ， 加 上 家 庭 和 公共 Wi-Fi 网 络 的 广泛 可 用 
性 ， 使 得 组 织 机 构 受 益 匪 浅 。 雇 员 从 他 们 所 在 的 任何 地 方 《 如 家 中 、 本 地 咖啡 店 或 在 旅行 
时 )， 能 够 使 用 相同 的 设备 和 同样 的 应 用 继续 他 们 的 工作 或 检查 自己 的 电子 邮件 。 从 企业 的 
角度 ， 这 意味 着 更 高 的 生产 力 和 效率 以 及 较 低 的 成 本 。 


1.4.2 标准 


Wi-Fi 成 功 的 关键 在 于 互 操作 性 。Wi-Fi 使 能 的 设备 必须 能 够 与 Wi-Fi 接 入 点 通信 ， 例 
如 家 庭 路 由 器 、 企 业 接 入 点 和 公共 热点 ， 而 无 论 设备 或 接 入 点 的 生产 商 是 谁 。 有 两 个 组 织 确 
保 了 这 种 互 操 作 性 。 第 一 ，IEEE 802.11 无 线 LAN 委员 会 研制 了 Wi-Fi 的 协议 和 信号 标准 。 
B, Wi-Fi 联盟 生成 了 测试 套件 ， 以 验证 符合 各 种 IEEE 802.11 标准 的 商业 产品 的 互 操作 
性 。 术 语 Wi-Fi (wireless fidelity， 无 线 保 真 ) 用 于 由 联盟 认证 的 产品 。 


1.4.3 Wi-Fi 数据 速率 


就 像 商务 和 家 庭 用 户 要 求 扩 展 以 太 网 标准 以 加 速 到 吉 比 特 每 秒 (Gbps) 范围 一 样 ， 对 
Wi-Fi 也 存在 同样 的 需求 。 随 着 天 线 技术 、 无 线 传输 技术 和 无 线 协议 设计 的 演化 ，IEEE 
802.11 委员 会 已 经 能 够 引入 具有 更 高 速率 的 新 版 Wi-Fi 标准 。 一 旦 发 布 某 标准 ， 产 业界 会 迅 
速 研发 产品 。 这 里 有 一 个 简要 编 年 表 ， 从 初始 的 标准 开始 (该 标准 简称 为 [EEE 802.11), 并 
且 显 示 了 每 个 版 本 对 应 的 数据 速率 ( 见 图 1-5 ) 。 

802.11 ( 1997 Ẹ): 2Mbps 

802.11a ( 1999 Æ): 54Mbps 

802.11b ( 1999 年 ); 11Mbps 

802.11n ( 1999 Æ): 600Mbps 

802.11g ( 2003 Æ): 54Mbps 

802.11ad ( 2012 年 ): 6.76Gbps 

802.11ac ( 2014 年 ): 3.2Gbps 

IEEE 802.11ac 运行 在 SGHz 频段 ， 就 像 较 老 和 较 慢 的 标准 802.11a 与 802.11n 一 样 。 此 
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标准 设计 用 于 提供 从 802.1 1n 进行 的 平滑 演化 。 它 利用 在 天 线 设 计 和 信和 号 处 理 方面 的 先进 技 
术 ， 以 取得 高 得 多 的 数据 速率 和 较 低 的 电池 消耗 ， 使 用 与 较 旧 版 本 Wi-Fi 相同 的 频段 。 

IEEE 802.11ad 是 一 个 工作 在 60GHz 频段 的 802.11 版 本 。 该 频段 能 提供 比 SGHz 频段 宽 
得 多 的 信道 带宽 ， 使 得 具有 相对 简单 的 信号 编码 和 天 线 特征 的 高 数据 速率 成 为 可 能 。 较 少 的 
设备 工作 在 60GHz 频段 ， 这 意味 着 该 Wi-Fi 通信 会 比 使 用 其 他 频段 有 较 少 的 干扰 。 

由 于 继承 了 60GHz 频段 的 传输 限制 ，802.11ad 很 可 能 仅 在 一 个 房间 中 有 用 。 因 为 它 能 
支持 高 数据 速率 ， 并 能 够 容易 地 传输 未 压缩 的 高 分 辩 率 视频 ， 适 合 于 在 家 庭 娱 乐 系统 中 代替 
有 线 的 应 用 或 从 蜂窝 手机 到 电视 转移 高 分 辩 率 流 。  . 

吉 比 特 Wi-Fi 对 于 办 公 室 和 住宅 环境 都 具有 吸引 力 ， 并 且 商 业 产 品 正 开 始 不 断 涌现 。 在 
办 公 环 境 中 ， 对 不 断 提高 的 数据 速率 的 需求 导致 以 太 网 提供 了 10Gbps、40Gbps 和 最 近 的 
100Gbps。 为 支持 刀片 服务 器 、 严 重 依赖 的 视频 和 多 媒体 、 多 重 宽带 站 点 间 连 接 ， 需 要 这 些 
了 不 起 的 能 力 。 与 此 同时 ， 为 了 满足 移动 性 和 灵活 性 的 需求 ， 无 线 LAN 的 使 用 在 办 公 环 境 
有 了 急剧 增长 。 在 办 公 LAN 的 固定 部 分 可 使 用 吉 比 特 范围 的 数据 速率 ， 为 使 移动 用 户 有 效 
地 使 用 办 公 室 资源 ， 需 要 使 用 吉 比 特 Wi-Fi。IEEE 802.11ac 很 可 能 是 首选 的 用 于 这 种 环境 的 
吉 比 特 Wi-Fi 选项 。 

在 消费 者 和 住宅 市 场 上 ，IEEE 802.11ad 很 可 能 作为 一 种 低 功 率 、 短 距离 无 线 LAN 能 力 
流行 ， 它 对 其 他 设备 几乎 不 产生 干扰 。IEEE 802.11ad 在 专业 媒体 产品 环境 中 也 是 一 种 有 吸 
引力 的 选项 ， 其 中 有 巨 量 的 数据 需要 短 距离 移动 。 


1.5 4G/5G 蜂窝 网 


蜂窝 技术 是 移动 无 线 通信 的 基础 ， 在 不 方便 由 有 线 网 络 提供 服务 的 场所 支持 用 户 。 蜂 窒 
技术 是 用 于 移动 电话 、 个 人 通信 系统 、 无 线 因特网 和 无 线 Web 应 用 及 更 多 应 用 的 支撑 技术 。 
本 节 讨 论 蜂窝 技术 如 何 经 过 四 代 的 演进 ， 正 准备 向 第 五 代 进 发 。 


1.5.1, 第 = 并 


现在 被 称 为 1G 的 初始 蜂窝 网 络 提供 模拟 流量 信道 ， 被 设计 为 公共 交换 电话 网 络 的 扩 
展 。 用 户 使 用 砖 块 大 小 的 蜂窝 电话 打出 和 接收 电话 ， 方 式 如 同 陆 上 线路 的 用 户 那 样 。 部 署 最 
为 广泛 的 1G 系统 是 由 美国 AT&T 公司 研发 的 先进 的 移动 电话 服务 ( AMPS)。 话音 传输 完全 
是 模拟 的 ， 经 10kbps 模拟 信道 发 送 控制 信号 。 


1.5.2 第 二 代 


第 一 代 蜂 帘 网 络 迅 速 变 得 很 流行 ， 预 示 着 可 用 容量 无 法 应 对 。 因 此 研发 了 第 二 代 (2G) 
系统 以 提供 较 高 质量 的 信号 、 支 持 数字 服务 的 更 高 数据 速率 ， 以 及 更 大 的 容量 。1G 和 2G 
网 络 的 主要 差异 包括 下 列 几 点 。 

。 数字 流量 信道 : 两 代 系 统 之 间 最 显著 的 差异 是 ，1G 系统 几乎 是 纯 模 拟 的 ， 而 2G A 
统 是 数字 的 。 特 别 是 ， 设 计 的 1G 系统 支持 语音 信道 ， 数 字 流 量 仅 通过 使 用 调制 解 调 
器 来 支持 ， 调 制 解 调 器 将 数字 数据 转换 为 模拟 形式 。2G 系统 提供 数字 流量 信道 。 这 
些 系统 毫 无 困难 地 支持 数字 数据 ， 语 音 流量 在 传输 前 先 要 以 数字 形式 编码 。 

加 密 : 因为 所 有 的 用 户 流量 和 控制 流量 在 2G 系统 中 要 数字 化 ,加 密 所 有 流量 以 防 窃 
听 是 相对 简单 的 事情 。 所 有 2G 系统 都 提供 这 种 能 力 ， 而 1G 系统 以 明文 方式 发 送 用 
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户 流量 ,无 法 提供 安全 性 。 

o 差错 检测 和 纠 错 : 2G 系统 的 数字 流量 也 使 其 适合 于 使 用 差错 检测 和 纠 错 技术 ， 因 此 
能 有 非常 清晰 的 语音 接收 效果 。 

。 信道 接 入 : 在 1G 系统 中 ， 每 个 蜂窝 支持 多 个 信道 ， 但 在 任何 给 定时 间 一 个 信道 仅 分 
配给 一 个 用 户 。2G 系统 给 每 个 蜂窝 也 提供 多 个 信道 ， 但 每 个 信道 动态 地 由 若干 用 户 
共享 。 


1563 =f 


第 三 代 无 线 通信 的 目标 是 提供 相当 高 速 的 无 线 通信 ， 以 除了 支持 语音 外 还 支持 多 媒体 、 

数据 和 视频 。3G 系统 具有 下 列 设计 特色 。 

e 带宽 : 对 所 有 3G 系统 的 一 个 重要 设计 目标 是 ， 将 信道 使 用 限制 为 5MHz。 这 个 目标 
有 几 个 原因 。 一 方面 ， 与 窄带 宽 相 比 ，5MHz 或 更 多 的 带宽 改善 了 接收 方 解 决 多 径 的 
能 力 ，5MHz 是 一 个 能 够 分 配给 3G 的 合理 上 界 。 最 后 ，5MHz 对 于 支持 144kbps 和 
384kbps 的 数据 速率 足够 了 ， 这 些 数据 率 是 用 于 3G 服务 的 主要 目标 。 

e 数据 速率 : 目标 数据 速率 是 144kbps 和 384kbps。 某 些 3G 系统 也 提供 对 办 公用 途 的 
高 达 2Mbps 的 支持 。 

e 多 速率 : 术语 多 速率 是 指 为 一 个 给 定 用户 供 给 多 个 固定 数据 速率 的 逻辑 信道 ， 其 中 
不 同 的 数据 速率 提供 给 不 同 的 逻辑 信道 。 此 外 ， 在 每 个 逻辑 信道 上 的 流量 能 够 独立 
地 通过 无 线 和 固定 网 络 切换 到 不 同 的 目的 地 。 多 速率 的 优点 是 该 系统 能 够 灵活 地 支 
持 来 自 某 个 给 定 用 户 的 多 个 并 行 的 应 用 ， 并且 能 够 通过 为 每 个 服务 提供 所 要 求 的 能 
力 来 有 效 地 使 用 可 用 的 能 力 。 


1.5.4 第 四 代 


智能 手机 和 蜂窝 网 络 的 演进 引领 着 新 一 代 能 力 和 标准 的 发 展 ， 这 些 能 力 和 标准 的 集合 称 
为 4G。4G 系统 为 包括 便携 机 、 智 能 手机 和 平板 电脑 在 内 的 各 种 移动 设备 提供 了 极 宽带 宽 的 
因特网 接 人 。4G 网 络 支持 移动 Web 接 人 和 高 带宽 应 用 ， 例 如 高 分 辩 率 移动 TV、 移 动 视频 
会 议和 游戏 服务 。 

这 些 需 求 导致 了 第 四 代 移 动 无 线 技术 的 发 展 ， 该 移动 无 线 技术 设计 用 来 最 大 化 带宽 和 大 
吐 量 ， 同 时 也 最 大 化 频谱 的 效率 。4G 系统 具有 下 列 特点 。 

o 基于 全 IP 的 分 组 交换 网 络 。 

e 对 高 度 移动 性 的 移动 接 人 支持 高 达 约 100Mbps 的 峰值 数据 速率 ， 对 如 本 地 移动 接 人 

那样 的 低 移 动 性 支持 高 达 1Gbps 数据 速率 。 

e 动态 共享 和 使 用 网 络 资源 ， 以 支持 每 蜂窝 更 多 的 并 行 用 户 。 

o 支持 跨 异 构 网 络 的 平稳 切换 。 

© 支持 用 于 下 一 代 多 媒体 应 用 的 高 QoS。 

与 较 早 的 几 代 相 比 ，4G 系统 不 支持 传统 的 电路 交换 电话 服务 ， 仅 提供 IP 电话 服务 。 


15.5 第 五 代 


5G 系统 距 我 们 还 有 几 年 的 时 间 (也 许 到 2020 Æ), 但 5G 技术 很 可 能 是 一 个 活跃 的 研究 
领域 。 到 2020 年 ， 由 平板 电脑 和 智能 手机 产生 的 巨 量 数据 流量 将 加 倍增 加 (也 许 更 大 )， 物 


HIF 现代 网 给 的 组 成 17 


联网 (Internet of Things) 也 将 产生 巨 量 流量 。 

使 用 4G 的 网 络 效率 收益 也 许 将 逐渐 减少 。 未 来 将 会 不 断 地 改善 ， 但 传输 效率 看 起 来 不 
可 能 有 大 幅度 增加 。 相 反 ，5G 的 关注 点 将 是 在 网 络 中 构建 更 多 的 智能 ， 通 过 动态 使 用 优先 
权 、 适 应 性 的 网 络 重 配置 和 其 他 网 络 管理 技术 来 满足 服务 质量 需求 。 


16 ZNS 

本 节 提 供 云 计算 的 简要 概述 ， 在 本 书 的 后 面 我 们 还 将 进行 更 为 详尽 的 讨论 (参见 第 
13 章 )。 - 

尽管 云 计 算 的 一 般 概念 可 以 追溯 到 20 世纪 50 ER, 但 云 计算 服 务 开始 应 用 则 是 在 21 
世纪 初 ， 特 别 是 以 大 型 企业 为 服务 对 象 。 从 那 以 后 ， 云 计算 扩展 到 小 型 和 中 型 商业 ， 并 且 最 
近 扩 展 到 消费 者 。 苹 果 的 iCloud 于 2012 年 推出 ， 经 过 一 周 的 推介 就 有 了 两 千 万 个 用 户 。 发 
布 于 2008 年 的 Evernote (一 种 笔记 管理 软件 ) 提供 了 基于 云 的 记 笔 记 和 存档 服务 ， 在 不 到 
6 年 的 时 间 内 用 户 数 接近 1 亿 。2014 年 下 半年 ， 谷 歌 宣布 Google Drive 有 了 近 2.5 亿 活 跃 用 
户 。 下 面 我 们 学 习 云 的 重要 构件 ， 包 括 云 计 算 、 云 网 络 和 云 存 储 。 


1.6.1 云 计 算 的 概念 


许多 组 织 机 构 日 益 倾向 于 将 大 部 分 甚至 所 有 IT 操作 转移 到 与 因特网 连接 的 基础 设施 上 ， 
这 些 基础 设施 称 为 企业 云 计 算 (colud computing )。 与 此 同时 ， 独 立 的 PC 用 户 和 移动 设备 越 
来 越 多 地 依赖 云 计算 服务 来 备份 数据 ， 以 及 使 用 个 人 云 计 算 同 步 设 备 和 相互 共享 。 


BUM 这 是 一 个 定义 宽松 的 术语 ， 是 指 经 过 因特网 提供 接 入 处 理 能 力 、 存 储 、 坎 件 
或 其 他 计算 服务 的 任何 系统 ， 通 常 使 用 Web 浏览 器 接 入 。 这 些 服务 一 般 是 向 某 个 拥有 和 
管理 它们 的 外 部 公司 租用 的 。 


美国 国家 标准 和 技术 局 (NIST) 定义 了 如 下 的 云 计算 基本 特征 。 

© 广泛 的 网 络 接 入 : 借助 网 络 和 通过 标准 机 制 接 入 可 供 使 用 的 能 力 ， 这 种 能 力促 进 了 
由 异 构 的 瘦 或 胖 客 户 程序 平台 (例如 移动 电话 、 便 携 机 和 个 人 数字 助理 ) 以 及 其 他 传 
统 的 或 基于 云 的 软件 服务 的 使 用 。 

快速 的 弹性 : 云 计算 使 你 能 够 根据 特定 服务 需求 扩展 和 减少 资源 。 例 如 ， 你 可 能 在 
特定 的 任务 期 间 需 要 大 量 的 服务 器 资源 ， 一 旦 该 任务 完成 则 能 够 释放 这 些 资源 。 

可 测量 的 服务 : 云 系统 自动 地 控制 和 优化 资源 使 用 ， 通 过 适合 服务 类 型 的 某 种 层次 
的 抽象 改变 计量 能 力 ， 这 些 服务 如 存储 、 处 理 、 带 宽 和 主动 用 户 账户 等 。 能 够 监视 、 
控制 和 报告 资源 使 用 ， 对 提供 商 和 使 用 服务 的 消费 者 提供 透明 性 。 

按 需 自助 服务 : 消费 者 能 够 自动 地 根据 需求 单方 面 地 留 出 计算 能 力 ， 例 如 服务 器 时 
间 和 网 络 存储 ， 而 不 要 求人 与 每 个 服务 提供 商 交 互 。 因 为 服务 是 按 需 的 ， 这 些 资源 
不 是 IT 基础 设施 的 永久 部 分 。 

资源 池 : 使 用 多 租户 模式 服务 于 多 个 消费 者 ， 提 供 商 的 计算 资源 被 池 化 ， 不 同 的 物理 
和 虚拟 资源 动态 分 配 并 根据 消费 者 的 需求 重新 分 配 。 有 某 种 程度 的 位 置 无 关 性 ， 即 
消费 者 通常 不 控制 或 没有 提供 商 资源 的 准确 知识 ， 但 可 能 在 较 高 层次 的 抽象 上 指定 
位 置 〈 例 如 国家 、 州 或 数据 中 心 )。 资 源 的 例子 包括 存储 、 处 理 、 内 存 、 网 络 带宽 和 
虚拟 机 。 甚 至 专用 云 在 同一 组 织 的 不 同 部 分 之 间 也 趋向 于 池 化 资源 。 图 1-7 图 示 了 典 
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型 的 云 服务 环境 。 某 企业 在 企业 LAN 或 LAN 的 集合 中 维护 工作 站 ， 该 LAN 集合 由 
路 由 器 通过 网 络 或 因特网 与 云 服 务 提供 商 进行 连接 。 云 服务 提供 商 维护 巨 量 的 服务 
器 集合 ， 这 些 服 务 器 使 用 各 种 网 络 管理 、 元 余 和 安全 工具 进行 管理 。 在 该 图 中 ， 该 
云 基 础 设施 显示 为 刀片 服务 器 的 集合 ,它们 有 共同 的 体系 结构 。 





图 1-7 云 计算 环 境 


16.2 云 计算 的 好 处 


云 计 算 提供 规模 经 济 、 专 业 的 网 络 管 理 和 专业 的 安全 管理 。 这 些 特性 能 够 对 公司 、 政 府 
机 构 和 个 人 PC 及 移动 用 户 产 生 吸 引力 。 个 人 或 公司 仅 需 要 对 他 们 所 需 的 存储 能 力 和 服务 付 
费 。 无 论 是 个 人 用 户 还 是 公司 用 户 ， 都 无 须 为 建立 数据 库 系统 、 获 取 所 需 的 硬件 、 维 护 和 备 
份 数据 等 工作 而 伤 脑筋 ， 所 有 这 些 工作 都 是 云 服务 的 一 部 分 。 

理论 上 讲 ， 对 于 存储 数据 并 与 他 人 共享 而 言 ， 使 用 云 计算 的 另 一 个 巨大 的 优点 是 ， 云 提 
供 商 关心 安全 性 。 遗 憾 的 是 消费 者 并 非 总 是 安全 的 ， 云 提供 商 中 还 存在 着 一 些 安全 缺陷 。 在 
2013 年 年 初 ，Evernote 公司 在 发 现 一 次 人 侵 后 ， 告 知 用 户 重 置 他 们 的 口令 ， 此 事 成 为 报纸 
的 头条 。 本 书 将 在 第 16 章 讨论 云 安全 。 


1.6.3” 云 网 络 


云 网 络 是 指 那些 必须 就 地 启用 云 计 算 的 网 络 和 网 络 管理 功能 。 许 多 云 计 算 解 决 方案 依赖 
因特网 ， 但 那 仅 是 网 络 基 础 设施 的 一 部 分 。 

云 计 算 的 一 个 例子 是 在 提供 商 和 客户 之 间 提 供 高 性 能 / 高 可 靠 的 网 络 。 在 这 种 场合 ， 在 
企业 网 和 云 之 间 的 某 些 或 所 有 流量 会 绕 过 因特网 ， 使 用 由 云 服务 提供 商 拥 有 或 租用 的 专用 私 
有 网 络 设施 。 更 一 般 地 ， 云 网 络 是 指 要 求 接 人 云 的 网 络 能 力 的 集合 ， 包 括 利用 经 过 因特网 的 
专门 服务 ， 将 企业 数据 中 心 连接 到 云 ， 在 关键 点 使 用 防火 墙 和 其 他 网 络 安全 设备 以 实施 安全 
接 入 策略 。 


1.6.4 云 存储 
我 们 能 够 认为 云 存 储 是 云 计算 的 一 个 子 集 。 本 质 上 讲 ， 云 存储 包括 数据 库存 储 和 托管 于 
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远程 云 服务 器 上 的 数据 库 应 用 。 云 存储 使 得 小 的 商业 和 个 人 用 户 可 以 利用 数据 存储 ， 这 些 数 
据 存 储 随 着 需求 缩 扩 ， 利 用 各 种 各 样 的 数据 库 应 用 ， 而 不 必 购 买 、 维 护 和 管理 存储 资产 。 


1.7 ORR 


物 联网 ( Internet of Things, IoT) 是 计算 和 通信 和 领域 长 期 且 持 续 革命 中 的 最 新 发 展 。 它 
的 规模 、 普 遍 性 和 对 日 常生 活 、 商 业 及 政府 的 影响 ， 使 得 以 往 的 任何 技术 进展 都 相形 见 细 。 
本 节 提 供 了 IoT 的 简要 概述 ， 本 书后 面 (第 14 章 ) 将 会 更 为 详细 地 讨论 IoT。 


物 联网 连通 性 的 扩展 ， 特 别 是 经 过 因特网 的 各 种 各 样 的 传感器 、 执 行 器 和 其 他 嵌入 
式 系统 的 扩展 。 在 几乎 所 有 场合 ,无 须 人 类 用 户 ， 它 们 进行 全 自动 的 交互 。 


1.7.1 物 联 网 中 的 物 


物 联 网 是 一 个 术语 ， 指 的 是 智能 设备 (包括 从 装置 到 微型 传感器 等 多 种 设备 ) 的 扩展 互 
联 。 占 主导 性 的 方法 是 将 近 距 离 的 移动 收发 器 舱 入 到 小 器 具 和 日 常生 活 物品 中 ， 使 得 人 与 物 
品 以 及 物品 之 间 能 够 进行 新 形式 的 通信 。 因 特 网 现在 支持 数 十 亿 个 工业 的 和 个 人 的 物体 进行 
互联 ， 互 联通 常 要 通过 云 系统 。 这 些 物 体 传 递 传 感 信 息 ， 根 据 它 们 的 环境 而 行动 ,并且 在 某 28] 
些 情况 下 修改 自己 ， 形 成 对 更 大 系统 如 工厂 或 城市 的 总 体 管理 。 

ToT 主要 由 内 部 能 入 式 设 备 所 驱动 。 这 些 设 备 是 低 带 宽 、 低 重复 数据 俘获 和 低 带 宽 数 据 
使 用 装置 ， 这 些 装 置 彼此 通信 并 经 过 用 户 接口 提供 数据 。 舱 人 式 装置 如 高 分 辩 率 视频 安全 照 
相机 、IP 视频 (VoIP) 电话 和 其 他 一 些 东 西 等 ， 它 们 要 求 高 带宽 流 能 力 。 无 数 的 产品 则 仅 要 
求 间 吹 地 传递 数据 分 组 。 


1.7.2 演化 


对 于 所 支持 的 端 系统 而 言 ， 因 特 网 已 经 大 致 经 历 了 四 代 的 部 署 ， 最 终 到 达 了 IoT。 

1) 信息 技术 CIT): 企业 的 IT 人 员 购 买 了 PC、 服务 器 、 路 由 器 、 防 火 墙 等 作为 IT 设 
备 ， 主 要 用 于 有 线 连接 。 

2) 操作 技术 (OT): HAR IT 公司 所 构建 的 具有 上 骨 入 式 IT 的 机 器 /装置 ， 如 医疗 设备 、 
SCADA (监视 控制 和 数据 获取 )、 过 程控 制 和 售 货 亭 ， 这 些 均 由 企业 OT 人 员 购 买 作 为 装置 
并 且 主 要 使 用 有 线 连接 。 

3) 个 人 技术 : 由 用 户 (雇员 ) 购买 作为 IT 设备 的 智能 手机 、 平 板 电脑 和 电子 书 阅读 器 
等 ， 只 使 用 无 线 连接 并 且 经 常 使 用 多 种 形式 的 无 线 连接 。 

4) 传感器 / 执行 器 技术 : 由 用 户 、IT 和 OT 人 员 购 买 的 单一 用 途 的 设备 ， 只 使 用 无 线 
连接 ,通常 只 用 单一 形式 无 线 连接 ， 并 作为 较 大 系统 的 一 部 分 。 

上 述 第 四 代 通 常 被 认为 是 IoT， 其 显著 特征 是 有 几 十 亿 个 岁入 式 设备 在 使 用 。 


1.7.3” 物 联网 的 层次 


商业 和 技术 文献 通常 都 聚焦 于 物 联 网 的 两 种 要 素 ， 即 被 连接 起 来 的 “物体 ”和 互联 它们 
的 因特网 。 最 好 将 IoT 视 为 一 个 巨 系 统 ， 它 由 5 个 层次 组 成 。 
o 传感器 和 执行 器 : 这 些 都 是 物体 。 传 感 器 观察 它们 的 环境 ， 报 告 变量 的 量化 测量 结 
果 ， 这 些 变量 包括 温度 、 湿 度 、 某 些 可 观察 东西 的 存在 或 缺失 ， 等 等 。 执 行 器 在 环 [29] 
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境 中 操作 ， 如 改变 恒温 器 设置 或 操作 阀门 。 


连接 性 : 设备 可 能 经 过 无 线 或 有 线 链接 到 一 个 网 络 中 ， 将 收集 到 的 数据 发 送 给 适当 
的 数据 中 心 〈 传 感 器 ) 或 从 一 个 控制 站 点 (执行 器 ) 接收 操作 命令 。 


© 容量 : 支持 这 些 设 备 的 网 络 必须 能 够 处 理 潜在 的 大 量 数据 流 。 
o 存储 : 需要 有 大 型 存储 设施 来 存储 和 维护 所 有 收集 到 的 数据 备份 。 这 通常 是 一 种 云 


能 力 。 


o 数据 分 析 : 对 于 大 量 的 设备 而 言 ， 产 生 了 “大 数据 "”， 需 要 一 种 处 理 该 数据 流 的 数据 


分 析 能 力 。 


对 IoT 概念 的 有 效 使 用 来 说 ， 所 有 这 些 层 次 都 是 必 不 可 少 的 。 


1.8 


网 络 汇聚 


网 络 汇 聚 ( network convergence) 是 指 以 前 截然 不 同 的 通信 技术 、 信 息 技 术 和 市 场 的 融 
合 。 我 们 能 从 企业 通信 3 层 模型 的 角度 来 认识 这 种 汇聚 。 


网 络 汇聚 ， 在 一 个 单一 的 网 络 中 电话 、 视 频 和 数据 通信 服务 的 供给 。 


o 


应 用 汇聚 : 商业 的 端 用 户 看 到 的 是 应 用 汇聚 。 汇 聚集 成 了 通信 应 用 与 商业 应 用 ， 通 信 
应 用 如 语音 呼叫 (电话 )、 语 音 邮 件 、 电 子 邮 件 和 即时 讯息 ， 商 业 应 用 如 工作 组 协同 、 
客户 关系 管理 和 后 台 业 务 功能 。 借 助 于 汇聚 ， 应 用 可 以 提供 丰富 的 特性 ， 该 特性 以 
无 颖 、 有 组 织 和 增值 的 方式 综合 语音 、 数 据 和 图 像 。 一 个 例子 是 多 媒体 讯息 ， 它 使 
得 用 户 可 以 使 用 单一 界面 访问 各 种 来 源 的 报 文 ， 例 如 来 自 办 公 语 音 邮 件 、 电 子 邮件 、 
SMS 文本 和 移动 语音 邮件 等 。 

企业 服务 : 在 这 个 层次 ， 管 理 者 根据 所 用 的 服务 处 理 信息 网 络 ， 以 确保 用 户 能 够 利 
用 他 们 使 用 的 应 用 。 例 如 ， 网 络 管理 者 需要 确保 适当 的 隐私 机 制 和 鉴别 服务 在 适当 
位 置 ， 以 支持 基于 汇聚 的 应 用 。 对 于 移动 工作 人 员 ， 他 们 也 能 够 跟踪 用 户 位 置 以 支 
持 远程 打印 服务 和 网 络 存储 设施 。 企 业 网 络 管理 服务 也 可 能 包括 为 各 种 用 户 、 群 组 
和 应 用 以 及 QoS 条 件 建立 协作 环境 。 

基础 设施 : 网 络 和 通信 基础 设施 是 由 通信 链 路 、LAN 、WAN 和 对 企业 可 用 的 因特网 
连接 组 成 。 企 业 网 基础 设施 也 越 来 越 多 地 包括 到 达 数 据 中 心 的 专用 /公用 的 云 连接 ， 
数据 中 心包 括 大 容量 的 数据 存储 和 Web 服务。 在 这 个 层次 ,汇聚 的 一 个 重要 方面 是 
通过 网 络 携带 语音 、 图 像 和 视频 的 能 力 ， 而 该 网 络 设计 之 初 是 用 来 携带 数据 流量 的 。 
针对 面向 语音 流量 设计 的 网 络 ， 出 现 了 基础 设施 汇聚 。 例 如 ， 视 频 、 图 像 、 文 本 和 
数据 通常 通过 蜂窝 电话 网 络 传递 到 智能 手机 。 


图 1-8 显示 了 企业 通信 的 三 层 模型 的 主要 属性 。 简 单 来 说 ， 汇 聚 涉 及 将 一 个 机 构 的 语 
音 、 视 频 和 图 像 流 量 迁 移 到 单一 的 网 络 基础 设施 上 。 这 通常 涉及 将 完全 分 开 的 语音 和 数据 网 
络 综合 成 单一 的 网 络 基础 设施 ， 并 且 将 该 基础 设施 扩展 成 能 够 支持 移动 用 户 。 这 种 汇聚 的 基 
础 是 使 用 网 际 协议 (IP) 基于 分 组 的 传输 。 使 用 IP 分 组 来 递送 各 种 各 样 的 通信 流量 ， 有 时 被 
称 为 一 切 经 由 IP， 使 底层 基础 设施 能 够 向 商业 用 户 递送 类 型 繁多 的 有 用 应 用 。 

汇聚 带 来 了 许多 好 处 ， 包 括 网 络 管理 简化 、 效 率 提升 和 应 用 层 更 为 灵活 。 例 如 ， 一 个 汇 
聚 的 网 络 基 础 设施 提供 了 可 预测 的 平台 ， 在 该 平台 上 可 构建 新 型 增值 应 用 ， 该 应 用 结合 了 视 
频 、 数 据 和 语音 。 这 使 得 研发 者 创造 创新 性 的 混搭 和 其 他 增值 商务 应 用 与 服务 更 为 容易 。 下 
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面 总 结 了 IP 网 络 汇聚 的 三 个 主要 好 处 。 

。 节省 费用 : 汇聚 网 络 能 够 让 网 络 管理 、 维 护 和 运行 成 本 可 观 地 减少 〈 两 位 数 百分比 ); 
将 传统 网 络 汇聚 到 单一 IP 网 络 能 够 更 好 地 使 用 现 有 的 资源 ， 实 现 集中 式 能 力 规划 、 
资产 管理 和 策略 管理 。 

e 有 效 性 : 汇聚 环境 具有 向 用 户 提供 高 度 灵 活性 的 潜力 ， 无 论 用 户 位 于 何 处 。 耳 汇聚 
允许 公司 有 更 多 的 移动 员工 。 移 动工 作者 能 够 使 用 虚拟 专用 网 络 ( VPN) 远程 访问 
在 公司 网 络 上 的 业务 应 用 程序 和 通信 服务 。 通 过 将 业务 流量 与 其 他 因特网 流量 分 离 ， 
VPN 可 帮助 维护 企业 网 的 安全 性 。 

e HR: 因为 它们 是 可 修改 的 和 能 够 互 操作 的 ， 当 它们 通过 技术 进展 变 得 可 用 时 ， 汇聚 
IP 网 络 能 够 易于 适应 新 功能 和 特色 ， 而 不 必 安 装 新 的 基础 设施 。 汇 聚 也 使 得 可 在 企业 
范围 采用 全 局 标准 和 最 佳 实践 ， 因 此 提供 更 好 的 数据 、 增 强 的 实时 决策 以 及 关键 业务 
过 程 和 操作 的 改进 执行 。 最 终结 果 是 强化 敏捷 和 创新 ， 这 些 是 业务 创新 的 关键 要 素 。 


由 业务 需求 驱动 
pip ele a wig 
合 和 机 构 间 的 企业 系统 
aie 信 z 
汇聚 多 媒体 服务 
Enterprise 2.0、SCM 2.0、BPM 2.0 和 CRM 2.0 等 





图 1-8 业务 驱动 的 汇聚 


这 些 引 人 入 胜 的 商业 利益 激发 着 公司 投资 汇聚 网 络 基础 设施 。 然 而 ， 企 业 敏 锐 地 知晓 汇 
聚 的 不 利 因素 : 具有 单一 网 络 意味 着 单 点 故障 。 给 定 它们 对 ICT (信息 和 通信 技术 ) 的 依赖 ， 
今天 的 汇聚 企业 网 基础 设施 通常 包括 元 余 的 组 件 和 备份 系统 以 增加 网 络 恢 复 力 ， 减 少 网 络 断 
供 的 严重 性 。 


1.9 统一 通信 

与 网 络 汇聚 相关 的 概念 是 统一 通信 (unified communications，UC)。 而 企业 网 汇聚 关注 
的 是 传统 上 完全 分 开 的 语音 、 视 频 和 数据 通信 网 络 合 并 成 一 个 共同 的 基础 设施 。UC 关注 的 
是 实时 通信 服务 的 集成 以 优化 业务 过 程 。 正 如 汇聚 的 企业 网 那样 , IP 是 构建 UC 系统 的 基石 。 
UC 的 关键 要 素 包 括 如 下 。 

1) UC 系统 通常 提供 统一 的 用 户 接口 ， 以 及 跨越 多 个 设备 与 媒体 的 一 致 的 用 户 体验 。 
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2) UC 将 实时 通信 服务 to 合 。 



















































































































































































































































































图 1-9 统一 通信 体系 结构 的 要 素 


这 个 体系 结构 的 关键 要 素 如 下 : 


实时 通信 (RTC) 仪表 盘 : RIC 仪表 盘 是 UC 体系 结构 的 关键 组 件 。 正 是 该 要 素 为 
UC 用 户 提 供 了 一 种 跨越 通信 设备 的 统一 用 户 接口 。 理 想 情 况 下 ， 用 户 具 有 一 致 的 
接口 ， 而 无 论 用 户 当前 正在 使 用 何 种 通信 设备 ， 设 备 是 否 是 蜂 窜 电话、 无 线 平板 计 
算 机 、 桌 面 系统 或 与 公司 专用 分 支 交换 机 ( PBX) 相连 的 办 公 电 话 。 如 在 图 1-9 中 所 
见 ，RTC 仪表 盘 提 供 对 诸如 即时 通信 、 音 频 和 视频 会 议 及 交互 白板 等 实时 通信 服务 
WA; RTC 仪表 盘 也 以 统一 视图 提供 对 诸如 统一 消息 (电子 邮件 、 话 音 邮 件 、 传 
ELA SMS) 等 非 实时 服务 的 接 入 。RTC 仪表 盘 包 括 共同 工作 者 和 合作 伙伴 是 否 在 线 
的 信息 ， 因 此 用 户 能 够 动态 地 知道 哪个 同事 能 够 进行 通信 或 进入 协作 通信 会 话 。 对 
于 要 求 高 层次 通信 和 协作 以 支持 业务 过 程 的 机 构 而 言 ，RTC 仪表 盘 已 经 成 为 必需 品 。 
Web 会 议 : 是 指 直 播 会 议 或 报告 ， 其 中 参与 者 或 者 通过 因特网 ， 或 者 通过 企业 内 联 
网 ， 使 用 移动 设备 或 Web 接 入 会 议 或 报告 。Web 会 议 经 常 包 括 通过 Web 连接 的 交互 
自 板 (interactive white board, IWB) 的 数据 共享 。 
音频 会 议 : 也 称 为 电话 会 议 ， 是 指 参与 者 为 音频 传输 和 接收 而 连接 在 一 起 的 直播 会 
议 。 参 与 者 可 以 使 用 固定 电话 、 移 动 电话 或 “ 软 电话 ”( 指 装备 有 麦克 风 和 话 简 的 计 
算 机 )。 
统一 消息 : 统一 消息 (messaging) 系统 为 多 个 来 源 的 消息 提供 共同 的 存储 仓库 。 它 
pap sig 电话 或 移动 设备 的 保存 的 电子 邮件 、 语 音 邮 件 和 传真 消 
\。 计 算 机 用 户 能 够 选择 并 播放 出 现在 它们 的 统一 消息 收 件 箱 中 的 语音 邮件 记录 。 
es 邮件 并 能 够 听 到 电子 邮件 消息 的 文字 到 语音 的 转换 。 任 何 类 
型 的 消息 都 能 够 保存 、 应 答 、 存 档 、 检 索 和 转发 。 通 过 将 从 办 公 室 电话 和 手机 收 到 
的 语音 邮件 消息 保存 到 相同 的 邮箱 ， 统 一 消息 系统 缓解 了 商务 用 户 必须 监视 多 个 语 
音 收 件 箱 的 负担 。 借 助 于 UC， 用 户 能 够 在 任何 时 间 使 用 任何 设备 从 统一 消息 收 件 箱 
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检索 电子 邮件 或 语音 邮件 。 
e 即时 通信 (IM): 在 两 个 或 多 个 参与 者 之 间 的 基于 文本 的 实时 消息 系统 。 因 为 IM 基 
于 文本 并 且 实 时 双向 交换 ， 它 类 似 于 在 线 聊 天 。IM 与 聊天 的 不 同 之 处 在 于 ，IM 客户 
使 用 联系 人 (或 好 友 ) 列表 来 方便 已 知 用 户 之 间 的 连接 ， 而 在 线 聊 天 能 够 允许 匿名 用 
户 之 间 进 行 基 于 文本 的 交流 。 
视频 会 议 (VTC): 视频 会 议 允 许 位 于 两 个 或 多 个 位 置 的 用 户 通 过 双向 视频 和 音频 传 
输 同时 交互 。UC 系统 使 得 用 户 能 够 通过 桌面 计算 机 、 智 能 手机 和 移动 设备 参与 视频 
Bil. - 
在 场 信息 : 这 是 一 种 能 力 ， 以 实时 确定 某 人 正 位 于 何 处 ， 该 人 喜欢 以 何 种 方式 联系 ， 
甚至 他 当前 正在 做 些 什 么 。 在 场 信息 在 同事 尝试 建立 个 人 之 间 的 联系 之 前 ， 显 示 个 [34 
人 的 有 效 状 态 。 它 曾经 仅仅 被 认为 是 即时 通信 的 一 种 支撑 技术 (例如 ,“ 可 聊天 ”或 
AE”), 但 是 现在 已 经 被 扩展 为 包括 以 下 信息 : 同事 当前 是 否 在 办 公 室 或 在 打 移 动 电 
话 ， 是 否 在 计算 机 上 注册 ， 是 否 在 参与 某 个 视频 交谈 或 在 会 议 中 ,或 者 是 否 外 出 午 
餐 或 度假 而 不 在 办 公 室 ， 等 等 。 同 事 的 地 理 位 置 因为 一 些 业 务 原 因 (包括 对 用 户 紧急 
事件 进行 快速 响应 的 能 力 )， 正 越 来 越 多 地 变 成 在 场 信息 中 的 要 素 。 业 务 已 经 包括 在 
场 信息 ， 因 为 它 促进 了 更 为 便利 和 高 效 的 通信 。 它 有 助 于 消除 “电话 留言 ”或 写 并 
发 送 电子 邮件 给 某 个 人 这 种 效率 低下 问题 ， 在 这 种 低 效 方式 下 ， 该 人 通过 电话 或 采 
取 迅 速 见 面 的 方式 来 回答 问题 。 
IP 使 能 联系 中 心 : 是 指使 用 基于 IP 的 统一 通信 增强 客户 联系 中 心 的 功能 和 性 能 。 统 
一 通信 基础 设施 利用 在 场 信息 技术 ， 使 得 客户 和 内 部 企业 雇员 能 够 快速 联系 到 所 需 
要 的 专家 或 支持 人 员 。 此 外 ， 这 种 技术 支持 移动 性 ， 因 此 呼叫 中 心 人 员 不 必 位 于 特 
定 的 办 公 室 或 停留 在 特定 的 地 方 。 最 后 ，UC 基础 设施 使 得 呼叫 中 心 雇员 能 够 迅速 访 
问 其 他 雇员 以 及 包括 数据 、 视 频 、 图 像 和 音频 在 内 的 信息 资产 。 
IP/ 移动 性 : 是 指使 用 IP 网 络 基础 设施 把 信息 传递 给 通常 移动 的 企业 人 员 并 从 他 们 那 
里 收集 信息 。 在 一 个 典型 的 企业 中 ， 超 过 30% 的 雇员 在 完成 他 们 的 工作 任务 时 使 用 
某 种 按 周 形式 的 远程 访问 技术 。 
汇聚 IP/ 无 线 基础 设施 : 一 种 统一 的 基于 网 络 和 通信 的 IP 分 组 传送 ， 以 支持 语音 、 
数据 和 视频 传输 并 且 能 够 扩展 为 包括 局 域 和 广 域 无 线 通 信 。UC 使 能 的 移动 设备 能 够 
在 通信 会 话 期 间 在 Wi-Fi 和 蜂窝 系统 之 间 切 换 。 例 如 ， 一 个 UC 用 户 能 够 用 连接 到 家 
中 Wi-Fi 网 络 的 智能 手机 接收 同事 的 电话 ， 开 车 去 工作 时 经 蜂窝 网 络 连 接 继 续 那 个 交 
X, 并 且 最 后 在 办 公 室 终止 那个 此 时 已 连接 到 公司 Wi-Fi 网 络 的 电话 。 这 将 无 颖 地 和 
透明 地 产生 两 次 切换 (家庭 Wi-Fi 到 蜂窝 以 及 蜂 窒 到 办 公 室 Wi-Fi)， 而 不 丢弃 呼叫 。 [35] 
UC 的 重要 性 不 仅 在 于 它 集 成 了 通信 信道 ， 而 且 在 于 它 提 供 了 一 条 集成 通信 功能 和 商务 
应 用 的 途径 。 通 常 使 用 UC 的 组 织 机 构 会 发 现 以 下 三 种 主要 的 好 处 。 
e 个 人 生产 率 增加 : 在 场 信息 有 助 于 雇员 找到 彼此 并 且 选 择 最 为 有 效 的 方式 实时 通信 。 
对 于 定位 同事 或 检查 多 个 与 工作 相关 的 语音 邮箱 ， 呼 叫 多 个 号 码 会 节省 时 间 。 来 自 
VIP 联系 人 的 呼叫 能 被 同时 转 到 所 有 UC 用 户 的 电话 设备 (办公室 电话 、 软 电话 、 智 
能 手机 、 家 庭 电 话 )， 以 确保 对 用 户 、 合 作 伙 伴 和 同事 的 较 快 响应 。 借 助 于 移动 在 场 
信息 能 力 ， 地 理 位 置 最 近 的 雇员 能 被 派 遗 来 处 理 问 题 。 
e 工作 组 性 能 增加 : UC 系统 支持 团队 成 员 之 间 的 实时 协作 ， 这 促进 了 工作 组 性 能 的 改 
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善 。 一 个 例子 是 使 用 在 场 信息 来 加 速 识别 可 供 使 用 的 个 人 ， 该 人 具有 某 工 作 组 需要 
的 适当 技能 去 处 理 某 个 问题 。 强 化 的 会 议 能 力也 有 助 于 增加 工作 组 性 能 ， 该 会 议 能 
力 具 有 桌面 VTC 和 交互 白板 以 及 自动 化 的 业务 规则 以 路 由 或 逐步 扩大 通信 。 

e 企业 级 过 程 改 进 : IP 汇聚 使 得 UC 能 够 与 企业 范围 和 部 门 级 应 用 、 业 务 处 理 以 及 工 
作 流 综合 起 来 。 具 有 客户 、 供 应 商 和 商业 伙伴 的 UC 使 能 的 强化 通信 ， 针 对 客户 关系 
管理 (CRM)、 供 应 链 管 理 (SCM) 和 其 他 企业 范围 的 应 用 重新 定义 了 最 佳 实践 ， 并 
且 改 变 了 业务 网 络 的 成 员 之 间 的 关系 。 通 信使 能 的 业务 过 程 (CEBP) 正在 加 速 几 个 


(36 | 产业 (包括 金融 服务 、 卫 生 保健 和 零售 业 ) 中 的 竞争 。 
1.10 ”重要 术语 
学 完 本 章 后 ， 你 应 当 能 够 定义 下 列 术 语 。 
第 三 代 第 四 代 
第 五 代 接 入 网 
汇聚 路 由 器 应 用 程序 提供 商 
应 用 服务 提供 商 主干 网 
刀片 服务 器 云 计算 
云 网 络 云 存 储 
内 容 提 供 商 核心 网 
核心 路 由 器 分 发 网 
边缘 路 由 器 端 用 户 
IEEE 802.3 IEEE 802.11 
物 联 网 以 太 网 
网 络 汇聚 网 络 提供 商 
对 等 以 太 网 供电 (PoE) 
电力 线 载波 机 架 顶 部 交换 机 
统一 通信 Wi-Fi 
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网 络 使 得 许多 直接 和 重要 的 经 济 领 域 成 为 可 能 ， 但 它 将 存在 诸如 缺乏 控制 、 

对 变化 需求 可 能 缺乏 响应 等 问题 ， 不 过 其 中 的 许多 问题 已 经 在 很 大 程度 上 得 到 了 
解决 。 

一 一 什么 能 被 自动 化 ? 

《计算 机 科学 和 工程 研究 》 自然 科学 基金 ，1980 


本 章 目 标 

学 完 本 章 后 ， 你 应 当 能 够 : 

e 给 出 有 关 因 特 网 和 互联 网 上 分 组 流量 的 主要 分 类 的 概述 ， 这 些 流量 包括 弹性 流量 、 

非 弹性 流量 和 实时 流量 。 

© 探讨 大 数据 、 云 计算 和 移动 流量 对 当前 网 络 所 施加 的 流量 需求 。 

© 解释 服务 质量 的 概念 。 

。 解释 体验 质量 的 概念 。 

o 理解 路 由 选择 的 基本 要 素 。 

。 理解 拥塞 的 影响 和 用 于 拥塞 控制 的 技术 类 型 。 

© 比较 并 对 照 软 件 定 义 网 络 和 网 络 功能 虚拟 化 。 

第 1 章 提 供 了 构成 网 络 生态 系统 的 各 种 元 素 的 概览 ， 包 括 网 络 技术 、 网 络 体系 结构 、 
服务 和 应 用 程序 。 本 章 以 简明 的 方式 提供 了 在 本 书 中 涉及 的 关键 主题 的 动机 、 技 术 背 景 和 
概述 。 


2.1 网 络 和 因特网 流量 的 类 型 


因特网 和 企业 网 上 的 流量 能 够 划分 为 两 种 宽泛 的 类 型 : 弹性 的 和 非 弹性 的 。 对 它们 不 同 
的 需求 考虑 阐明 了 强化 网 络 体系 结构 的 必要 性 。 


2.1.1 弹性 流量 


弹性 流量 是 这 样 一 种 流量 ， 它 能 够 在 很 宽 的 范围 内 调整 以 改变 跨越 互联 网 (internet) 的 
时 延 和 香 吐 量 ， 并 且 仍 然 满足 应 用 程序 的 需求 。 这 是 基于 TCP/IP 的 互联 网 支持 的 传统 类 
型 的 流量 ， 并 且 是 互联 网 在 设计 之 初 所 针对 的 流量 类 型 。 生 成 这 种 流量 的 应 用 程序 通常 使 
用 传输 控制 协议 (Transmission Control Protocol, TCP) 或 用 户 数据 报 协 议 ( User Datagram 
Protocol UDP) 作为 传输 协议 。 在 使 用 UDP 时 ， 应 用 程序 所 占用 的 网 络 容量 最 高 可 达到 其 
生成 数据 的 速率 上 限 。 而 使 用 TCP 时 ， 应 用 程序 所 使 用 的 网 络 容量 最 高 可 达 端 到 端 接收 者 
接收 数据 的 速率 上 限 。 利 用 TCP， 每 条 连接 的 流量 通过 减 小 向 网 络 注入 数据 的 速率 来 进行 拥 
塞 调整 。 








[38] 
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因特网 ( Internet) isco kes Snagit ace 它 将 众多 公有 和 私有 
网 络 以 及 用 户 互联 起 来 。 


互联 网 (internet) 由 一 些小 型 网 络 组 成 的 大 型 网 络 ， 也 称 为 互联 网 络 。 


弹性 应 用 程序 包括 在 TCP 或 UDP 上 运行 的 常用 应 用 程序 例如， 文件 传输 (文件 传输 
协议 /安全 FTP[FTP/SFTP])， 电 子 邮件 (简单 邮件 传送 协议 [SMTP])， 远 程 注册 (Telnet, 
安全 Shell[SSH])， 网 络 管理 (简单 网 络 管理 协议 [SNMP]) 和 Web 服务 访问 ( 超 文本 传输 
协议 /HTTP 安全 [HTTP/HTTPS])。 然 而 ， 这 些 应 用 程序 的 需求 存在 着 差异 ， 包 括 如 下 几 个 
方面 。 

o 电子 邮件 通常 对 时 延 变化 不 敏感 。 

e 当 通 过 用 户 命令 而 不 是 作为 自动 的 背景 任务 进行 文件 传输 时 ， 用 户 期 望 时 延 与 文件 

的 大 小 成 正比 ， 因 此 对 于 吞吐 量 的 变化 敏感 。 
o 网 络 管理 类 应 用 通常 不 会 过 度 关注 时 延 。 然 而 ， 如 果 在 某 互联 网 中 的 故障 是 拥塞 的 
原因 ， 则 用 最 短 时 延 来 读 取 SNMP 报 文 的 需求 将 随 着 拥塞 程度 的 加 剧 而 增加 。 

e 交互 式 应 用 程序 (如 远程 登录 和 Web 访问 ) 对 时 延 敏 感 。 

认识 到 应 用 程序 并 非 对 单个 分 组 的 时 延 都 感 兴趣 是 很 重要 的 。 对 跨越 因特网 的 真实 时 
延 的 观察 提示 我 们 ， 时 延 并 没有 出 现 大 幅 变 动 。 由 于 TCP 的 拥塞 控制 机 制 ， 当 产生 拥塞 时 ， 
在 来 自 各 条 TCP 连接 的 到 达 速 率 下 降 之 前 ， 时 延 仅 会 适度 增加 。 与 之 相对 的 是 ， 用 户 感 受 
到 的 服务 质量 (QoS ) 与 传输 当前 应 用 单元 经 历 的 总 时 间 相 关 ， 对 于 交互 式 Telnet 应 用 来 说 ， 
该 传输 单元 可 以 是 单个 按键 输入 或 者 单行 输入 。 而 对 于 Web 访问 来 说 ， 该 传输 单元 是 一 个 
网 页 ， 这 个 网 页 可 以 小 到 只 有 几 千 字 节 ， 也 可 以 大 到 包含 了 很 多 图 片 。 对 于 科学 型 应 用 来 
说 ， 该 传输 单元 则 可 能 是 几 兆 字 节 的 数据 。 

对 于 非常 小 的 传输 单元 ， 总 共 经 历 的 时 间 主 要 由 跨越 因特网 所 需 的 时 延 决定 ， 但 是 对 于 
较 大 的 传输 单元 ， 总 共 经 历 的 时 间 则 取决 于 TCP 滑动 窗口 的 性 能 ， 所 以 它 主要 依赖 于 TCP 
连接 所 能 达到 的 吞吐 量 。 因 此 ， 当 传输 较 大 的 数据 时 ， 传 输 时 间 与 文件 的 大 小 以 及 源 端 速率 
由 于 拥塞 而 下 降 的 程度 呈 线 性 关系 。 

需要 明确 的 是 ， 即 使 将 焦点 集中 在 弹性 流量 上 ， 一 些 服 务 区 分 和 流量 控制 还 是 能 带 来 较 
大 的 好 处 。 如 果 没 有 这 些 服务 ， 路 由 器 将 公平 地 处 理 到 达 的 IP 分 组 ， 而 不 考虑 应 用 的 类 型 
以 及 某 个 分 组 是 较 大 传输 单元 的 一 部 分 还 是 很 小 的 一 个 传输 单元 。 在 这 种 情况 下 ， 当 拥塞 发 
生 时 ， 不 大 可 能 会 以 这 种 方式 分 配 资源 以 公平 地 满足 所 有 应 用 的 需求 。 当 又 有 非 弹性 流出 现 
时 ， 这 个 结果 将 会 变 得 更 糟 。 


2.1.2 非 弹 性 流量 


在 跨越 互联 网 时 ， 非 弹性 流量 很 难 适 应 时 延 和 香 吐 量 的 变化 ， 非 弹性 流量 的 例子 包括 音 
频 、 视 频 等 多 媒体 传输 ， 交 互 式 仿真 应 用 (例如 航空 公司 飞行 员 仿真 ) 等 大 容量 的 交互 式 流 
量 。 这 些 非 弹 性 流量 的 需求 包括 以 下 方面 。 

。 吞吐 量 : 对 最 低 吞 吐 量 有 要 求 。 与 大 多 数 弹 性 流量 可 以 在 服务 性 能 下 降 时 继续 传输 

数据 所 不 同 的 是 ,许多 非 弹 性 应 用 都 要 求 必 须 达 到 给 定 的 最 低 否 吐 量 。 

o 时 延 : 也 称 为 延迟 。 一 个 时 延 敏 感 型 应 用 的 例子 是 股票 交易 ， 那 些 接收 数据 总 是 慢 

一 拍 的 人 在 操 盘 时 也 总 是 慢 一 拍 ， 这 会 使 他 们 处 于 劣势 。 
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o 时 延 抖动 : 时 延 变化 的 幅度 称 为 时 延 抖 动 ( delay jitter)， 或 简称 抖动 ， 它 是 影响 实时 
类 应 用 的 重要 因素 。 由 于 互联 网 络 会 对 分 组 产生 不 断 变化 的 时 延 ， 因 此 相 邻 分 组 的 
到 达 时 间 间 隔 通 常 不 会 稳定 在 一 个 固定 值 上 。 为 了 对 这 种 时 延 差异 进行 弥补 ， 到 达 
的 分 组 会 被 缓存 起 来 ， 并 经 过 足够 的 延迟 时 间 来 消除 抖动 带 来 的 影响 ， 随 后 再 以 稳 
定 的 速率 交付 给 软件 ， 这 些 软件 期 望 得 到 的 就 是 这 种 稳定 的 实时 流 。 可 人 允许 的 时 延 
FARK, a oe a 接收 端 缓 存 也 必须 越 大 。 电 视 电 话 等 实 
时 交互 类 应 用 对 时 延 拌 动 会 有 一 个 合理 的 上 限 要 求 。 

。 ZB: set Se Ft th OR EAE, 如 果 存 在 丢 包 情况 ， 那 么 这 些 应 用 必须 能 
够 承受 丢 包 带 来 的 后 果 。 


“时 延 拌 动 ”两 个 点 之 问 与 分 组 传输 相关 的 时 延 变化 ， 通 常 以 单个 会 话 中 分 组 的 最 大 时 
延 差 来 衡量 。 


K 2-1 显示 了 不 同类 别 流量 的 丢 包 、 时 延 和 时 延 拌 动 特性 ，RFC 4594 (区 分 服务 类 型 配 
AMEN, 2006 年 8 月 发 布 ) 对 这 些 特性 进行 了 详细 介绍 。 表 2-2 给 出 了 不 同 的 面向 媒体 应 用 
的 QoS 需求 示例 [SZIG14]。 

表 2-1 服务 类 型 特征 


WEAN 对 时 延 的 
可 变 长 分 组 ， 大 部 分 为 非 弹 性 
网 络 控 制 短 报 文 ， 但 是 流量 可 能 会 出 现 突 发 低 
(BGP) 
可 变 长 分 组 ， 弹 性 和 非 弹性 流 es 
固定 长 度 短 分 组 ， 固 定 的 输出 速 非常 低 
率 ， 非 弹性 和 低速 率 流 
s en 非 弹 性 ， 大 部 分 
cia yonin ag 
Set 
Fae aE, ae 非 


oe ee ae as 
EERE | RT, REMEN | 低 | 低 中 等 
| 高 吞吐 量 数据 | 速率 可 变 ， 突 发 长 寿命 弹性 流 | 低 | 中 高 | 
| 低 优先 级 数据 | ant, e | 高 | 高 | 










对 时 延 样 动 
的 容忍 程度 





RE 












面向 媒体 类 


数据 


| 标准。 | 上 述 特征 都 有 | 
BGP= 边界 网 关 协 议 
OA&M= 运 维 、 执 行 和 管理 
RTP= 实时 传输 协议 


UDP= 用 户 数据 报 协议 


表 2-2 ”应 用 类 型 的 QoS 需求 

单 向 时 延生 150ms 

单 向 峰值 间 时 延 抖 动 和 30ms 
单 跳 峰 值 间 时 延 抖 动 过 10ms 
FALE 1% 





| 40 | 
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广播 视频 FAB 0.1% 

单 向 时 延生 200ms 

单 向 峰值 间 时 延 拌 动 志 50ms 
单 跳 峰值 间 时 延 拌 动 志 10ms 
丢 包 率 << 0.1% 

单 向 时 延 200ms 

丢 包 率 1% 

单 向 时 延生 400ms 
FAIZ 1% 

这 些 需求 在 排队 时 延 和 丢 包 不 断 变化 的 环境 中 难以 得 到 满足 ， 因 此 ， 非 弹性 流量 对 互联 
网 体系 结构 提出 了 两 个 新 的 需求 。 首 先 ， 需 要 采用 某 些 方法 来 为 有 更 多 需求 的 应 用 提供 优先 
处 理 ， 应 用 需要 能 描述 自身 的 需求 ， 这 要 么 通过 提前 定义 一 些 服务 请 求 函 数 , 要 么 在 运行 过 
程 中 进行 定义 ， 然 后 结合 P 分 组 首部 中 的 字段 实现 ， 其 中 前 一 种 方法 能 更 灵活 地 描述 需求 ， 
使 网 络 能 预知 需求 ， 并 在 所 需 资 源 不 可 用 时 拒绝 某 些 请 求 ， 这 种 方法 预示 着 需要 使 用 某 种 资 
源 预 留 协议 。 

在 互联 网 体系 结构 中 ， 为 了 支持 非 弹性 流量 ， 一 个 额外 的 需求 是 必须 仍然 能 支持 弹性 
流量 。 非 弹性 应 用 在 出 现 拥 塞 时 通常 不 会 回 退 或 降低 需求 ， 这 与 TCP 应 用 正好 相反 ， 因 此 ， 
出 现 拥塞 时 ， 非 弹性 流量 会 持续 产生 较 高 的 负载 ， 而 弹性 流量 则 会 被 挤 出 互联 网 。 资 源 预 留 
协议 可 以 通过 拒绝 某 些 服务 请 求 ， 以 避免 只 剩 下 很 少 的 资源 用 于 处 理 当 前 的 弹性 流量 ， 从 而 
解决 上 述 问 题 。 


2.1.3 ”实时 流量 特性 


正如 前 文 所 述 ， 一 个 典型 非 弹性 流量 的 例子 是 实时 流量 ( real-time traffic)。 文 件 传输 、 
电子 邮件 、Web 等 客户 机 /服务 器 应 用 都 是 传统 的 弹性 流量 应 用 ， 这 些 应 用 关注 的 性 能 指标 
通常 是 吞吐 量 和 时 延 ， 此 外 也 会 关心 传输 的 可 靠 性 ， 因 此 采用 了 很 多 机 制 来 保证 数据 不 会 在 
传输 过 程 中 出 现 丢 失 、 出 错 或 者 失 序 。 相 比 之 下 ， 实 时 〈real-time) 应 用 主要 关注 与 时 间 相 
关 的 问题 以 及 丢 包 。 在 大 多 数 情 况 下 ， 数 据 以 固定 的 速率 传输 ， 并 且 与 发 送 速率 相等 ， 在 其 
他 情况 下 ， 每 个 数据 块 都 与 特定 的 时 间 期 限 相关 联 ， 在 期 限 到 达 后 ， 数 据 将 变 得 无 用 。 


实时 流量 ”必须 满足 实时 需求 (例如 低 时 延 拌 动 、 低 延迟 ) 的 数据 流 。 


实时 交互 类 视频 


多 媒体 会 议 


多 媒体 流 


实时 ”按照 需求 尽 可 能 快 地 传输 ;实时 系统 必须 尽快 响应 信 令 、 事 件 或 请 求 ， 从 而 满 
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图 2-1 显示 了 一 个 典型 的 实时 环境 ， 其 中 服务 器 正在 产生 速率 为 64kbps 的 音频 数据 ， 
经 过 数字 化 处 理 的 音频 以 大 小 为 160 字 节 的 分 组 形式 传输 ， 这 样 每 个 分 组 的 发 送 间隔 时 间 为 
20ms， 这 些 分 组 经 过 网 络 之 后 到 达 个 人 电脑 上 ， 随 后 电脑 实时 播放 接收 到 的 音频 数据 。 然 
而 ， 由 于 网 络 会 使 得 分 组 的 端 到 端 时 延 发 生变 化 ， 相 邻 分 组 到 达 目 的 端的 时 间 间 隔 不 会 一 直 
固定 在 20ms。 为 了 解决 这 一 问题 ， 到 达 的 分 组 会 暂时 缓存 起 来 ， 在 推迟 一 小 段 时 间 后 以 固 
定 速率 交付 给 音频 播放 软件 ， 这 里 的 缓存 可 以 位 于 目的 主机 或 外 部 网 络 设备 上 。 

时 延缓 存 所 能 提供 的 补偿 是 有 限 的 ， 例 如 ， 如 果 任 意 分 组 的 最 小 端 到 端 时 延 是 Ims， 最 
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大 为 6ms， 那 么 时 延 拌 动 就 为 5ms。 只 要 时 延缓 存 能 保存 的 分 组 超过 5ms， 那 么 缓存 将 能 涵 
盖 所 有 的 到 达 分 组 。 但 是 如 果 缓 存 只 能 延迟 4ms 的 播放 时 间 ， 那么 那些 相对 时 延 超过 4ms 
(绝对 时 延 超 过 5ms) 的 分 组 将 不 得 不 丢弃 ， 以 避免 重 放 时 出 现 失 序 。 [ 43 | 


固定 速率 的 分 组 流 
( 每 20ms 产 生 一 个 160 字 节 长 度 的 分 组 ) 
i 







源 端 : 
多 媒体 服务 器 





分 组 到 达 时 间 间 隔 由 于 时 延 拌 动 变 得 不 均匀 ( 可 能 有 些 分 组 出 现 丢失 ) 
一 -一 一 一 ~ 
ktl 





=n 


ae 






分 组 以 原始 的 时 间 间 隔 进行 传递 
(除了 丢失 的 分 组 之 外 ) 
— 





图 2-1 实时 类 流量 


目前 ， 实 时 流量 类 别 意味 着 分 组 大 小 是 相等 的 ， 而 且 这 些 分 组 以 固定 速率 产生 出 来 。 但 
是 该 类 流量 并 不 总 是 这 种 特征 ， 图 2-2 说 明了 一 些 可 能 的 一 般 特 征 ， 具 体 说 明 如 下 。 


T 
<> 





t 


a) 持续 型 数据 源 b) 有 静默 期 的 话音 数据 源 


c) 压缩 过 的 视频 源 
图 2-2 实时 分 组 传输 


(aa) 
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o 持续 型 数据 源 : 以 固定 间隔 产生 固定 大 小 的 分 组 。 它 将 应 用 的 特征 描述 为 连续 产生 
数据 ， 几 乎 不 会 出 现 宛 余 ， 而 且 这些 应 用 太 重 要 以 致 不 能 进行 有 损 压 缩 ， 具 体 的 例 
子 包括 空中 交通 管制 雷达 和 实时 仿真 。 

© 开 / 关 型 数据 源 : 数据 源 在 两 个 周期 间 进 行 变化 ， 第 一 个 周期 会 以 固定 间隔 产生 固定 
大 小 的 分 组 ， 男 一 个 周期 则 完全 不 产生 任何 数据 。 电 话 或 音频 会 议 等 数据 源 符 合 这 
类 特征 。 

。 可 变 的 分 组 长 度 : 数据 源 以 相同 的 间隔 产生 可 变 长 的 分 组 ,一 个 例子 是 包含 数字 视 
频 的 各 个 帧 采用 了 不 同 的 压缩 比 ， 并 以 相同 的 质量 级 别 进行 输出 。 


2.2 需求 : 大 数据 、 云 计算 和 移动 流量 


在 介绍 完 因特网 以 及 其 他 IP 网 络 的 流量 类 型 之 后 ， 我 们 现在 考虑 一 些 特定 的 应 用 领域 ， 
它们 会 给 网 络 资源 和 管理 产生 非常 巨大 的 压力 。 当 前 有 三 个 领域 尤为 突出 ， 分 别 是 大 数据 、 
云 计算 和 移动 。 所 有 这 些 领 域 都 建议 采用 软件 定义 网 络 ( software-defined networking, SDN) 
和 网 络 功能 虚拟 化 (network functions virtualization, NFV) 等 更 为 有 效 的 工具 来 对 网 络 进行 
运 维 和 管理 ， 同 时 采用 全 面 的 QoS 和 QoE 系统 在 IP 网 络 上 实现 高 效 的 服务 传输 。 


2.2.1 大 数据 


简单 来 说 ， 大 数据 (big data) 是 指 能 够 让 某 个 机 构 创建 、 控 制 和 管理 非常 大 的 数据 集 
(单位 为 TB、PB、EB 等 ) 的 所 有 相关 事物 ， 以 及 存储 这 些 数据 集 的 设备 。 分 布 式 数据 中 心 、 
数据 仓库 以 及 云 存储 是 当前 企业 网 的 通用 形态 ， 有 许多 因素 导致 了 这 种 大 数据 和 企业 网 的 合 
并 ,包括 存储 成 本 的 持续 降低 、 数 据 挖掘 和 商业 智能 (BI 工具 的 不 断 成 熟 、 政 府 的 监管 和 
法 庭 判例 ， 这 些 判例 促使 各 个 组 织 机 构 储 备 了 大 量 结构 化 和 非 结构 化 的 数据 ， 包 括 文档 、 电 
子 邮件 、 话 音 邮 件 、 文 本 邮件 和 社交 媒体 数据 。 其 他 被 采集 、 传 输 和 存储 的 数据 源 包 括 Web 
日 志 、 因 特 网 文档 、 因 特 网 搜索 指数 、 详 细 通 话 记录 、 科 学 研究 的 数据 和 结果 、 军 事 侦察 、 
医疗 记录 、 视 频 档案 和 电子 商务 交易 。 


大 数据 ”大 规模 的 数据 集 ， 而 且 标 准 的 数据 分 析 和 管理 工具 对 其 不 下 适用。 从 更 广泛 
的 意义 上 来 说 ， 大 数据 是 指 从 网 络 涌 入 处 理 器 和 存储 设备 的 大 量 、 多 样 、 高 速率 的 结构 化 
和 非 结构 化 数据 ， 这 些 数据 经 过 转换 后 存储 到 企业 的 商用 设备 中 。 


数据 集 一 直 在 持续 增长 ， 而 且 远程 传感器 、 移 动 设 备 、 摄 像 机 、 麦 克 风 、 无 线 射 频 识 别 
(RFID) 读 卡 器 以 及 类 似 技术 也 采集 到 越 来 越 多 的 数据 。 几 年 前 的 一 项 研究 [IBM11] 估计 每 
天 产生 的 数据 大 概 达到 了 2.5EB (也 即 2.5 x 10° 字 节 )， 而 且 世 界 上 所 有 数据 的 90% 都 是 在 
近 两 年 产生 的 ， 这 些 数字 在 现在 应 该 会 更 高 。 

大 数据 基础 设施 需要 考虑 的 因素 

传统 商用 数据 存储 和 管理 技术 包括 关系 型 数据 库 管 理 系统 (RDBMS )、 网 络 附 加 存储 
(NAS)、 存 储 区 网 络 (SAN)、 数 据 仓 库 (DW) 和 商业 智能 (BI) 分 析 法 。 

传统 数据 仓库 和 BI 分 析 系 统 都 倾向 于 高 度 集 中 在 一 个 企业 的 基础 设施 中 ， 它 们 通常 包 
含 带 有 RDBMS 、 高 性 能 存储 和 分 析 (analytics) 软件 的 中 央 数 据 存储 库 ， 例 如 在 线 分 析 处 
H (OLAP) 工具 ， 用 于 数据 挖掘 和 可 视 化 。 


分 析 对 海量 数据 进行 分 析 ， 通 常用 于 进行 决策 。 
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务 ， 并 从 这 些 海量 数据 中 获取 收益 的 公司 。 数 据 的 开发 利用 在 未 来 几 年 对 企业 将 会 日 益 重 
要 ， 因 为 越 来 越 多 的 公司 已 经 从 大 数据 应 用 中 获 利 。 

大 数据 网 络 示例 

为 了 更 直观 地 感受 典型 大 数据 系统 的 网 络 需求 ， 考 虑 如 图 2-3 (与 图 1-1 相对 应 ) 所 示 
的 一 个 生态 系统 。 

企业 内 部 的 关键 要 素 包 括 以 下 几 个 方面 。 

e 数据 仓库 : 数据 仓库 保存 了 从 多 个 数据 源 获 取 的 综合 数据 ， 这 些 数 据 主 要 用 于 上 报 

和 数据 分 析 。 

e 数据 管理 服务 器 : 大 规模 服务 器 池 提 供 多 种 与 大 数据 相关 的 功能 服务 ， 这 些 服 务 器 
运行 着 数据 集成 和 分 析 工 具 等 数据 分 析 应 用 ， 其 他 的 应 用 还 会 对 从 企业 运营 产生 的 
数据 进行 集成 和 结构 化 处 理 ， 这 些 企业 数据 包括 金融 数据 、 销 售 点 ( POS) 数据 和 电 
子 商务 行为 。 

e 工作 站 / 数据 处 理 系统 : 涉及 大 数据 应 用 的 使 用 和 大 数据 仓库 输入 的 产生 的 其 他 系统 。 

e 网 络 管理 服务 器 : 负责 网 络 管理 、 控 制 和 监视 的 一 个 或 多 个 服务 器 。 

未 在 图 2-3 中 显示 的 还 有 其 他 一 些 重要 的 网 络 设备 ， 包 括 防火 墙 、 入 侵 检 测 / 防御 系统 
(GDS/IPS)、 局 域 网 交换 机 和 路 由 器 。 





图 2-3 大 数据 网 络 生态 系统 


[46] 
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企业 网 可 能 包括 多 个 分 布 在 不 同 地 域 、 国 家 的 站 点 ， 此 外 ， 根 据 大 数据 系统 的 本 质 ， 企 


[47] 业 还 可 以 从 其 他 企业 的 服务 器 、 散 布 的 物 联 网 传感器 及 其 他 设备 处 接收 数据 ， 还 可 以 从 内 容 


分 发 网 络 接收 多 媒体 数据 。 

大 数据 的 网 络 环境 非常 复杂 ， 大 数据 对 企业 网 基础 设施 的 影响 是 由 所 谓 的 3V 决定 的 : 

e Volume, KE (不 断 增 长 的 数据 量 ) 

e Velocity, IERE (不断 增加 的 数据 存储 和 读 取 速度 ) 

e Variability， 多 样 性 (不 断 增 长 的 数据 类 型 和 数据 源 ) 

《网 络 世 界 2014 白皮书 》[NETW14] 指出 大 数据 所 关注 的 领域 包括 以 下 几 个 方面 。 

e 网 络 容量 : 运行 大 数据 分 析 程 序 自身 就 需要 很 大 的 网 络 容量 ， 而 且 这 个 问题 在 大 数 
据 和 日 常 应 用 流量 在 企业 网 中 结合 后 会 进一步 扩大 。 

o 时 延 : 大 数据 的 实时 或 准 实时 特征 要 求 网 络 能 够 提供 持续 较 低 的 时 延 ， 从 而 达到 最 
优 性 能 。 

e 存储 容量 : 无 穷 无 尽 的 大 数据 需要 海量 高 可 扩展 存储 器 ， 甚 至 这 些 存储 资源 必须 能 
足够 灵活 ， 以 处 理 各 种 不 同 的 数据 格式 和 流量 负载 。 

。 处 理 能 力 : 大 数据 会 对 计算 、 内 存 和 存储 系统 增加 非常 大 的 压力 ， 如 果 不 能 有 效 解 
决 这些 问 题 ， 将 会 严重 影响 运行 效率 。 

e 安全 的 数据 访问 : 大 数据 项 目 会 从 一 些 数 据 源 获取 敏感 信息 ， 例 如 客户 交易 信息 、 
GPS 位 置 、 视 频 流 等 ， 这 些 信息 都 需要 得 到 保护 以 避免 未 授权 的 访问 。 


2.2.2 Bite 


和 大 数据 一 样 ， 云 计算 也 对 通过 网 络 实现 高 效 的 流量 传输 带 来 了 挑战 。 参 考 图 2-4 所 示 
的 ITU-T 云 网 络 模型 | ITUT12 ] 会 有 助 于 理解 这 一 问题 ， 该 图 描述 了 云 网 络 、 服 务 提供 商 
以 及 云 服 务 用 户 所 关注 的 网 络 范围 。 

云 服务 (参见 第 7 章 ) 提供 商 维护 着 一 个 或 多 个 本 地 /区域 云 基础 设施 ， 云 内 部 网 络 将 
基础 设施 中 的 各 个 单元 连接 起 来 ， 这 些 单元 包括 数据 库 服务 器 、 存 储 阵 列 以 及 其 他 服务 器 
(例如 防火 墙 、 负 载 均 衡器 、 应 用 加 速 设备 和 IDS/IPS)， 云 内 部 网 络 还 可 以 包括 由 IP 路 由 器 
连接 的 众多 局 域 网 。 在 该 基础 设施 内 部 ， 数 据 库 服务 器 构成 了 虚拟 机 ( virtual machine) 集 
群 ， 并 为 不 同 用 户 提供 虚拟 化 的 、 相 互 隔离 的 计算 环境 。 


虚拟 机 一 个 包含 一 个 或 多 个 应 用 程序 的 操作 系统 实例 ， 这 些 系统 运行 在 计算 机 内 部 
相互 隔离 的 区 域 中 。 它 使 得 不 同 的 操作 系统 可 以 同时 运行 在 相同 的 计算 机 上 ， 并 防止 应 用 
程序 之 间 相 互 干扰 。 


云 间 网 络 将 各 个 云 基础 设施 互 连 起 来 ， 这 些 云 基础 设施 可 以 属于 相同 或 不 同 的 云 提供 

最 后 ， 用 户 利用 核心 传输 网 络 来 访问 和 使 用 部 署 在 云 提供 商 数据 中 心 内 的 云 服 务 。 

2-4 还 描述 了 两 类 运 维 支 持 系 统 (operations support system, OSS), 

o 网络 OSS : 传统 的 OSS 是 专用 于 电信 服务 提供 商 的 系统 。 网 络 OSS 所 支持 的 功能 
包括 服务 管理 和 网 络 详 单 维护 、 特 定 网 络 组 件 的 配置 以 及 故障 管理 。 

e ROSS: 云 基础 设施 OSS 是 专用 于 云 计 算 服务 提供 商 的 系统 。 云 OSS 支持 云 资 源 
的 维护 、 监 视 和 配置 。 

上 述 三 个 网 络 部 分 ( 云 内 部 网 、 云 间 网 、 核 心 网 ) 以 及 OSS 部 分 一 起 构成 了 云 服 务 结 构 





商 


o 
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和 传输 的 基础 。ITU-T 云 计算 研究 组 的 技术 报告 [ITUT 12] 列举 了 下 列 云 对 网 络 功能 所 需 的 
要 求 。 


移动 用 户 


a 
om 









企业 私有 云 / 
数据 中 心 


图 2-4 云 网 络 模型 


e 可 扩展 性 : 网 络 必 须 易 于 扩展 ， 从 而 满足 云 能 从 当前 几 百 或 几 千 台 服务 器 构成 的 云 基 
础 设施 迁移 到 几 万 甚至 几 十 万 台 服 务 器 构成 的 网 络 的 需求 。 这 种 大 小 的 规模 给 寻 址 、 
路 由 、 拥 塞 控制 等 领域 都 带 来 了 巨大 挑战 。 

o TERE: 大 数据 设备 和 云 提 供 商 网 络 中 的 流量 都 是 不 可 预测 和 易 变 的 [KAND12]。 相 同 
机 架 上 邻近 的 服务 器 会 产生 持续 的 峰值 流量 ， 而 单个 源 服务 器 和 多 个 目的 服务 器 又 
会 出 现 间歇 的 大 流量 。 云 内 部 网 络 需要 为 服务 器 提供 可 靠 的 高 速 直通 (也 即 逻 辑 上 的 
点 到 点 ) 信道 ， 该 信道 不 会 有 拥塞 链 路 ， 同 时 还 要 在 数据 中 心 内 部 为 任意 两 个 服务 器 
之 间 提 供 相等 的 带宽 。ITU-T 报告 总 结 称 ， 当 前 用 于 数据 中 心 的 三 层 拓扑 ( 接 入 层 、 
汇聚 层 和 核心 层 ) 不 能 很 好 地 满足 这 些 需 求 ， 一 种 更 为 灵活 和 动态 的 数据 流 控制 方法 
加 上 网 络 设备 的 虚拟 化 ， 可 以 为 实现 所 期 望 的 服务 质量 提供 更 好 的 基础 。 

。 敏捷 性 和 灵活 性 : 云 数 据 中 心 需要 能 够 对 云 资 源 利 用 的 高 度 动态 特征 进行 响应 和 管 
理 ， 它 包括 具有 适应 虚拟 机 迁移 的 能 力 ， 并 能 对 数据 中 心里 数据 流 的 路 由 实施 细 粒 id 
度 的 控制 (参见 第 13 章 )。 
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第 13 章 将 对 这 一 问题 进行 探讨 ， 而 现在 只 是 点 到 为 止 。 还 需要 明确 的 是 ，SDN 和 NFV 
的 结合 能 很 好 地 满足 前 面 所 列 出 来 的 需求 。 


2.2.3 ”移动 流量 


技术 创新 促进 了 手机 的 成 功 ， 而 移动 设备 的 普及 ， 以 及 多 兆 比 特 因特网 接 人 、 移 动 应 
用 、 高 像素 数码 相机 、 多 种 无 线 网 接 人 方式 (例如 Wi-Fi、 蓝 牙 、3G、4G) 以 及 一 些 便携 
式 传感器 一 起 造就 了 当前 的 盛 举 。 移 动 设 备 在 功能 日 益 强 大 的 同时 仍然 便于 携带 ， 电 池 寿 
命 也 在 增加 (尽管 设备 的 电池 使 用 范围 也 在 不 断 扩 展 )， 电 子 技术 改进 了 信和 号 接收 效果 并 能 
够 更 有 效 地 利用 有 限 的 频谱 资源 。 和 众多 类 型 的 电子 设备 一 样 ， 移 动 设备 的 成 本 也 在 不 断 
降低 。 

无 线 通信 首先 关注 的 是 话音 ， 现 在 关注 点 已 经 变 成 了 数据 ， 而 无 线 设备 也 不 再 仅仅 用 于 
话音 通信 了 。 图 2-5 显示 了 爱立信 [AKAM15] 对 全 球 总 体 移动 流量 在 2G、3G、4G 网 络 (不 
包括 DVB-H, Wi-Fi 和 移动 WiMAX) 中 变化 趋势 的 估算 。 爱 立信 的 产品 遍布 了 180 多 个 国 
家 ， 它 的 客户 群 代表 了 1000 多 个 网 络 ， 这 使 它 能 够 测量 话音 和 数据 总 量 ， 这 个 结果 对 于 计 
算 全 球 总 体 移动 流量 而 言 具 有 代表 性 。 





„m | 
R | 

Q1 Q2 Q3Q4Q1 Q2Q3Q4Q1 Q2 Q3 Q4Q1Q2Q3Q4 QIQ2Q3Q4 QIQ2Q3Q4 QIQ2Q3Q4 QIQ2Q3Q4 
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图 2-$ ”全球 每 季度 移动 话音 和 数据 总 量 (EB/ 季度 ) [AKAM15] 


移动 市 场 的 很 大 一 部 分 是 无 线 因特网 。 无 线 用 户 和 固 网 用 户 在 使 用 因特网 时 不 太一 样 ， 
他 们 采用 了 很 多 不 同 的 方法 ， 但 是 效果 不 比 固 网 差 。 相 对 于 笔记 本 电脑 和 PC 机 来 说 ， 无 线 
智能 手机 的 显示 屏 和 输入 功能 都 较为 有 限 ， 但 是 移动 应 用 提供 了 对 所 需 信 息 的 快速 访问 ， 而 
不 用 通过 Web 网 站 。 而 且 由 于 无 线 设 备 都 可 以 感知 位 置 ， 因 此 这 些 信息 可 以 根据 用 户 的 地 
理 位 置信 息 进 行 调整 ， 这 就 从 用 户 搜索 信息 变 为 了 信息 寻找 用 户 。 平 板 电脑 则 在 PC 能 提供 
大 屏幕 和 更 好 的 输入 功能 以 及 智能 手机 的 便携 性 之 间 达 成 了 很 好 的 折 中 。 

图 2-6 显示 了 一 个 移动 企业 IP 流量 投影 图 [CISC14]， 其 中 企业 是 指 商业 公司 和 政府 部 
门 。 思 科 公 司 的 流量 分 析 采 用 了 分 析 员 推测 、 内 部 估计 和 预测 以 及 直接 的 数据 采集 相 结合 的 
方法 。 和 蜂窝 网 络 中 的 移动 数据 流量 一 样 ， 移 动 企 业 IP 流量 也 呈现 出 很 强 的 增长 势头 。 

图 2-6 将 移动 流量 划分 为 以 下 三 类 。 
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e 移动 数据 流量 : 所 有 经 过 无 线 接 人 点 的 企业 流量 。 
。 托管 的 IP 流量 : 所 有 在 IP 网 传输 但 是 仍 处 于 公司 广域网 内 的 企业 流量 。 
e 因特网 流量 : 所 有 经 过 公用 因特网 的 企业 流量 。 


口 移 动 数据 流量 
国 托 管 的 人 P 流 量 
O 因特网 流量 





2013 2014 2015 2016 2017 2018 
图 2-6 每 年 度 企业 人 P 流量 的 预测 (EB/ 月 ) {CISC14] 


尽管 移动 流量 是 三 类 企业 网 流量 中 最 少 的 ， 但 是 它 的 增长 速度 却 远 高 于 其 他 两 类 流 
量 。 根 据 思科 公司 的 推测 ， 这 几 类 企业 网 流量 在 2013 ~ 2018 年 之 间 的 年 均 增长 率 将 分 别 
如 下 : 


移动 数据 流量 托管 的 IP 流量 因特网 流量 总 流量 
55% 10% 18% 18% 


企业 网 需要 足够 灵活 从 而 承担 快速 增长 的 移动 数据 负载 ， 这 类 负载 的 特点 是 会 动态 改变 
物理 接 和 点， 而 且 流 量 类 型 也 由 大 量 弹性 和 非 弹 性 流量 组 成 。 你 将 会 认识 到 ，SDN 和 NFV 
将 能 较 好 地 处 理 这 一 类 具有 高 动态 性 的 负载 。 


2.3 需求: QoS 和 QoE 


本 章 前 面 的 部 分 主要 关注 企业 网 和 因特网 所 承载 的 流量 类 型 ， 并 对 三 个 会 严重 影响 网 络 
服务 效率 的 需求 领域 进行 了 介绍 。 本 节 将 会 简要 介绍 两 个 概念 ， 它 们 对 定量 评价 企业 所 期 望 
能 达到 的 网 络 性 能 提供 了 有 效 的 方法 ， 它 们 分 别 是 : 服务 质量 (quality of service, QoS) 和 
体验 质量 (quality of experience, QoE ) QoS 和 QoE 使 得 网 络 管理 员 能 确定 网 络 是 否 满足 用 
户 的 需要 ， 还 可 以 对 网 络 进行 诊断 ， 判 断 是 否 需 要 对 网 络 管理 和 网 络 流量 控制 方式 进行 调 
整 。 本 书 第 四 部 分 将 会 对 QoS 和 QoE 进行 更 为 详细 的 介绍 。 


2.3.1 服务 质量 

可 以 将 QoS 定义 为 某 个 网 络 服务 可 测量 的 端 到 端 性 能 特性 ， 该 特性 可 以 通过 用 户 和 服 
务 提供 商 之 间 的 服务 等 级 约定 来 进行 事先 的 保证 ， 从 而 满足 特定 的 用 户 应 用 需求 。 常 见 的 特 
性 包括 以 下 几 个 方面 。 

。 吞吐 量 : 某 个 特定 逻辑 连接 或 流 的 最 小 或 平均 否 吐 量 ， 单 位 为 字 节 / 秒 或 比特 / 
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时 延 : 平均 或 最 小 时 延 ， 也 称 为 延迟 。 
时 延 拌 动 : 通常 为 最 大 可 人 允许 的 时 延 拌 动 。 
误 码 率 : 根据 传输 中 出 错 的 比特 率 ， 通 常 为 最 大 误 码 率 。 
FAR: 分 组 丢失 的 比例 。 

© 优先 级 : 网 络 可 提供 特定 数量 的 优先 级 别 ， 为 不 同 流 所 指定 的 优先 级 别 会 使 不 同 的 

流 在 网 络 中 得 到 不 同 的 处 理 方式 。 

e 可 用 性 : 表示 时 间 上 可 用 的 百分比 。 

o 安全 性 : 定义 为 不 同 的 安全 级 别 或 安全 类 型 。 

QoS 机 制 可 以 确保 商业 应 用 即使 不 再 运行 在 专用 硬件 上 (例如 应 用 程序 迁移 到 云 中 ) 也 
能 继续 得 到 必要 的 性 能 保证 。 基 础 设施 所 提供 的 QoS 一 部 分 是 由 它 自身 的 总 体 性 能 和 效率 
所 决定 的 。 但 是 ，QoS 也 指 为 特定 负载 指定 较 高 优先 级 ， 从 而 为 这 些 负载 分 配 所 需 的 资源 以 
满足 期 望 服务 等 级 的 能 力 。 它 能 提供 一 种 有 效 的 方法 在 应 用 程序 和 虚拟 机 之 间 分 配 处 理 器 、 
内 存 、L/O 和 网 络 流量 资源 。 


2.3.2 体验 质量 


QoE 是 由 用 户 上 报 的 主观 性 能 测量 。 与 QoS 能 够 实现 精确 测量 所 不 同 的 是 ，QoE 主要 
依靠 个 人 观点 ，QoE 在 我 们 处 理 多 媒体 应 用 和 多 媒体 内 容 传输 时 特别 重要 。QoS 提供 了 可 测 
量 、 定 量 的 指标 来 指导 网 络 的 设计 和 和 运 维 ， 并 使 得 客户 和 提供 商 可 以 在 网 络 传输 特定 应 用 和 
数据 流 上 达成 定量 的 性 能 约定 。 

然而 ， 单 纯 依 靠 QoS 指标 并 不 够 ， 因 为 它 没有 考虑 用 户 对 网 络 性 能 和 服务 质量 的 感受 。 
虽然 媒体 传输 系统 的 最 大 带宽 可 以 是 一 个 固定 值 ， 但 是 多 媒体 内 容 却 不 一 定 固定 在 某 个 水 平 
上 ，, 例如 “高 "， 这 是 因为 多 媒体 内 容 有 许多 种 编码 方法 ， 这 会 导致 不 同 的 感受 质量 ,而 最 
终 网 络 和 服务 的 体验 结果 都 是 由 订阅 用 户 对 性 能 的 主观 感知 所 决定 的 。QoE 对 传统 的 QoS 
进行 了 扩展 ， 它 从 端 用 户 的 角度 提供 了 服务 的 相关 信息 。 

有 很 多 因素 和 特征 可 以 包含 到 QoE 需求 当中 ， 它 们 可 以 大 致 分 为 以 下 几 类 。 

。 感知 上 的 : 该 类 别 包括 在 感官 方面 的 用 户 体验 质量 。 对 于 视频 来 说 ， 可 以 是 清晰 度 、 

亮度 、 对 比 度 、 闪 变 、 失 真 等 。 对 音频 来 说 ， 则 可 以 是 清晰 度 和 音色 。 

e 心理 上 的 : 该 类 别 包括 用 户 对 体验 的 感受 ， 例 如 使 用 的 难 易 度 和 兴奋 度 、 有 用 性 、 感 

党 质量 、 满 意 度 ， 以 及 烦恼 和 厌倦 度 。 
e 交互 方面 的 : 该 类 别 包括 与 用 户 和 应 用 或 设备 交互 相关 的 体验 ， 例 如 响应 性 、 交 互 
的 自然 性 、 通 信 效 率 和 易 访问 性 。 

对 于 实际 应 用 来 说 ， 这 些 特性 需要 能 转换 从 而 进行 定量 测量 。 

QoE 的 管理 已 经 成 为 未 来 应 用 、 服 务 和 产品 成 功 部 署 的 重要 方面 ， 而 提供 QoE 保证 的 
最 大 困难 在 于 如 何 设计 一 个 有 效 的 方法 将 QoE 特性 转换 为 可 定量 化 的 特性 ， 将 QoE 测度 转 
换 为 QoS 测度 。QoS 目前 可 以 很 容易 地 在 网 络 层 和 应 用 层 、 端 系统 和 网 络 端 进行 测量 、 监 
视 和 控制 ， 而 QoE 很 多 时 候 还 难以 进行 管理 。 


2.4 路 由 选择 


本 节 和 下 一 节 将 会 简要 介绍 两 种 机 制 以 及 它们 如 何 传输 和 交付 分 组 ， 这 两 种 机 制 是 网 络 
运 维 的 基础 ， 它 们 分 别 是 路 由 选择 和 拥塞 控制 。 更 为 详细 的 内 容 不 在 本 书 的 范围 之 内 ， 我 们 
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这 里 的 目标 是 解释 路 由 选择 和 拥塞 控制 的 基本 概念 ， 因 为 它们 是 支撑 网 络 流量 和 提供 QoS 
及 QoE 必要 的 基础 工具 。 


2.4.1 特点 


网 络 的 主要 功能 是 接收 从 源 端 发 送 过 来 的 分 组 ， 并 将 它们 传输 到 目的 端 。 为 了 完成 这 一 
任务 ， 需 要 在 网 络 中 确定 一 条 路 径 或 路 由 。 通 常 可 能 有 多 条 路 由 同时 存在 ， 因 此 ， 网 络 必须 
实现 路 由 功能 。 

路 由 选择 通常 根据 一 些 性 能 标准 来 决定 ， 最 简单 的 方法 就 是 选择 跳 数 最 少 的 路 由 (也 即 
经 过 的 结 点 数 最 少 )。 这 是 一 种 很 容易 测量 得 到 的 性 能 标准 ， 而 且 消 耗 的 网 络 资源 也 最 少 。 
这 种 跳 数 最 少 的 路 由 选择 标准 可 以 一 般 化 为 最 少 耗费 路 由 ， 其 中 耗费 是 与 每 条 链 路 相关 联 
的 ， 这 样 任意 两 个 端点 之 间 的 路 由 就 是 所 能 找到 的 累积 耗费 最 少 的 路 径 。 

图 2-7 描绘 了 一 个 网 络 ， 其 中 两 个 结 点 之 
间 带 箭头 的 实 线 表 明 结 点 之 间 的 链 路 以 及 相 
应 方向 上 的 链 路 耗费 ， 现 在 我 们 所 关心 的 就 
是 这 样 的 一 个 网 络 ， 其 中 每 个 结 点 都 是 一 个 
路 由 器 ， 相 邻 路 由 器 之 间 的 连接 线 是 通信 和 链 
路 。 从 结 点 1 到 结 点 6 的 最 短 (最 少 跳 数 ) 路 
径 是 1-3-6 (耗费 为 5+5=10 )， 而 最 少 耗 费 路 
径 则 是 1-4-5-6 (耗费 为 1+1+2=4 )。 

链 路 耗费 的 指派 可 用 于 支持 一 种 或 多 种 
设计 目标 ,例如 ， 耗费 可 以 与 速率 成 反比 或 图 2-7 网 络 结构 案例 
者 当前 链 路 的 时 延 (也 就 是 说 链 路 的 速率 越 
高 ， 则 链 路 的 耗费 越 低 ) 。 在 第 一 种 情况 下 ， 最 低 耗 费 路 由 应 当 能 提供 最 高 的 吞吐 量 ， 而 在 
第 二 种 情况 下 ， 最 低 耗费 路 由 可 以 实现 时 延 的 最 小 化 。 路 由 决策 还 可 以 采用 其 他 标准 来 实 
现 ， 例 如 ， 路 由 策略 可 以 指派 某 种 流量 类 型 必须 限定 选择 特定 的 路 由 ， 以 保障 网 络 的 安全 。 


2.4.2 分 组 转发 


路 由 器 的 主要 功能 是 接收 到 达 的 分 组 并 对 其 进行 转发 。 为 了 实现 这 一 目的 ， 路 由 器 需要 
维护 一 个 转发 表 。 图 2-8 描述 了 一 个 简化 的 例子 ， 它 说 明了 网 络 如 何 来 完成 这 一 工作 ， 其 中 
的 链 路 耗费 为 图 2-7 中 所 指定 的 值 。 路 由 器 的 转发 表 显 示 了 到 每 个 目的 地 址 的 下 一 跳 结 点 标 
识 ， 每 个 路 由 器 需要 负责 找到 合适 的 路 由 。 另 一 种 方式 则 是 由 网 络 控制 中 心 来 负责 为 所 有 的 
路 由 器 设计 路 由 ， 维 护 中 心 转发 表 ， 并 为 每 个 路 由 器 提供 与 其 相关 的 转发 表 信息 。 

值得 注意 的 是 ,我们 不 需要 为 每 个 结 点 对 存储 完整 的 路 由 ， 相 反 ， 只 需要 为 它们 提供 路 
由 上 的 第 一 跳 结 点 标识 就 可 以 了 。 

在 图 2-8 这 个 例子 当中 ， 转 发 决策 仅仅 依靠 目的 端 标识 来 确定 ， 其 实 还 可 以 使 用 额外 的 
信息 来 进行 转发 决策 ， 例 如 源 地 址 、 分 组 流标 识 或 者 分 组 的 安全 级 别 。 

© 失效 : 当 一 个 结 点 或 一 条 链 路 失效 时 ， 它 不 能 再 作为 路 由 的 一 部 分 。 

。 AZ: 当 某 个 网 络 区 域 出 现 严重 拥塞 , 分 组 的 路 由 最 好 绕 过 该 拥塞 区 域 。 

© 拓扑 变化 : 新 链 路 或 结 点 的 加 入 会 对 路 由 产生 影响 。 
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结 点 1 的 转发 表 结 点 2 的 转发 表 结 点 3 的 转发 表 
目的 结 点 下 一 跳 结 点 目的 结 点 下 一 跳 结 点 目的 结 点 下 一 跳 结 点 
| | LE 
二 至 天 ee eg ES ee ee Se oe eT 
WE i SE Be eee 
| SS cet I ats 
CS sor Nh a a 

结 点 4 的 转发 表 结 点 5 的 转发 表 结 点 6 的 转发 表 


目的 结 点 下 一 跳 结 点 


目的 结 点 “下 一 跳 结 点 


目的 结 点 “下 一 跳 结 点 





图 2-8 分 组 转发 表 (根据 图 2-7 而 得 ) 


为 了 实现 自 适应 路 由 ， 结 点 之 间或 者 结 点 和 中 央 控 制 器 之 间 需 要 不 断交 互 网 络 的 状态 
信息 。 


2.4.3 ”路 由 选择 协议 


网 络 中 的 路 由 器 负责 接收 和 转发 分 组 ， 每 个 路 由 器 在 进行 路 由 决策 时 都 是 根据 网 络 的 拓 
扑 和 流量 /时 延 情况 等 信息 来 完成 的 。 相 应 地 ， 路 由 器 之 间 也 要 进行 动态 协作 ， 特 别 是 路 由 
器 必须 能 避 开 网 络 失效 区 域 和 绕 开 拥塞 区 域 。 为 了 实现 这 种 动态 路 由 决策 ， 路 由 器 会 使 用 
路 由 协议 来 交互 路 由 信息 。 这 些 信 息 与 网 络 的 状态 相关 ， 例 如 通过 哪些 路 由 可 以 到 达 哪 些 网 
段 ， 以 及 不 同 路 由 的 时 延 特性 。 

根据 自治 系统 (autonomous system, AS) 的 概念 ， 可 以 将 路 由 协议 划分 为 两 大 类 ， 这 里 
先 对 AS 进行 定义 ， 然 后 再 介绍 这 两 类 路 由 协议 。 一 个 AS 具有 以 下 特征 : 

1) 一 个 AS 是 一 组 由 单个 机 构 管理 的 路 由 器 和 网 络 。 

2 ) 一 个 AS 由 一 组 路 由 器 组 成 ， 这 些 路 由 器 之 间 会 通过 通用 的 路 由 协议 交互 信息 。 

3 ) 除非 出 现 链 路 中 断 ，AS (从 图 论 的 角度 来 说 ) 是 默认 连通 的 ， 也 就 是 说 ,任何 两 点 
之 间 都 存在 一 条 可 达 路 径 。 


自治 系统 ”一 组 由 相同 的 人 、 l errati A e 
种 路 由 协议 ,即使 可 以 使 用 罗 种 协议 。 因 特 网 的 核心 由 许多 自治 系统 所 组 戌 。 
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共享 路 由 协议 这 里 称 为 内 部 路 由 器 协议 (interior router protocol, IRP), 会 在 AS 内 部 的 
路 由 器 之 间 传 递 路 由 信息 。 这 类 在 AS 内 部 使 用 的 协议 不 需要 在 自治 系统 的 外 部 实现 ， 这 种 
灵活 性 使 得 IRP 可 以 根据 特定 应 用 和 需求 进行 调整 。 


内 部 路 由 器 协议 将 路 由 信息 分 发 给 同一 一 AS 内 路 由 器 的 协议 ， 路 由 信息 协议 
(Routing Information Protocol, RIP) 和 开放 最 短路 优先 (Open Shortest Path First, OSPF) 
是 两 种 典型 的 IRP 协议 。IRP 过 去 也 称 为 内 部 网 关 协 议 。 


然而 ， 某 些 网 络 可 能 由 多 个 AS 所 构成 ， 例 如 ， 在 某 个 站 点 的 所 有 局 域 网 (如 办 公 楼 或 
校园 ) 可 以 通过 路 由 器 相连 而 组 成 一 个 AS， 这 个 AS 又 可 能 通过 广域网 与 其 他 自治 系统 相 
连 。 图 2-9 展示 了 这 种 情况 。 





2-9 外 部 和 内 部 路 下 器 协议 的 使 用 


在 这 种 情况 下 ， 位 于 不 同 自治 系统 的 路 由 器 所 使 用 的 路 由 算法 和 路 由 表 信 息 可 以 是 不 
同 的 。 但 是 ， 某 个 AS 内 的 路 由 器 至 少 需要 获取 最 低 限 度 的 信息 ， 从 而 了 解 外 部 网 络 是 否 可 
达 ， 这 里 将 位 于 不 同 自治 系统 的 路 由 器 传递 路 由 信息 的 协议 称 为 外 部 路 由 器 协议 (exterior 


router protocol, ERP). 


外 部 路 由 器 协议 将 路 由 信息 分 发 给 连接 了 不 同 自治 系统 的 路 由 器 的 协议 ，BGP 是 
一 个 典型 的 ERP, ERP 过 去 也 称 为 外 部 网 关 协 议 。 


说 明 在 文献 资料 中 ， 内 部 网 关 协 议 (interior gateway protocol, IGP) 和 外 部 网 关 协 议 
( exterior gateway protocol, EGP) 常用 于 表示 IRP 和 ERP, 但 是 由 于 IGP 和 EGP 有 时 也 指 具 
体 的 协议 ， 这 里 在 说 明 一 般 概念 时 会 避免 使 用 这 两 个 术语 。 

你 应 该 会 预料 到 ERP 所 传递 的 信息 要 少 于 IRP。 如 果 某 个 分 组 从 一 个 AS 内 的 主机 传输 
到 另 一 个 AS 的 主机 ， 第 一 个 AS 的 路 由 器 只 需要 知道 目标 AS， 并 在 本 AS 内 部 找到 一 条 进 
入 目标 AS 的 路 由 即 可 ， 而 一 旦 分 组 进入 目标 AS， 目标 AS 内 的 路 由 器 就 会 协作 将 其 送 达 目 


[59] 
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的 主机 ， 这 些 过 程 ERP 并 不 关心 ， 而 且 也 不 知道 在 AS 内 路 由 的 具体 细节 。 


244 ”路 由 器 的 组 成 


图 2-10 从 路 由 功能 的 角度 描绘 了 路 由 器 的 主要 构成 。 

任何 给 定 路 由 器 都 有 若干 IO 端口 ， 这 些 端口 至 少 有 一 个 与 其 他 路 由 器 相连 ， 此 外 还 可 
能 与 零 个 或 多 个 端 系统 相连 。 在 每 个 端口 上 ， 都 会 有 分 组 到 达 或 离开 ， 你 可 以 认为 每 个 端 
口 有 两 个 缓存 或 队列 : 一 个 用 于 接收 到 达 的 分 组 ， 另 一 个 用 于 保存 等 待 离开 的 分 组 。 在 实际 
中 ， 每 个 端口 都 与 两 个 固定 长 度 的 缓存 相关 联 ， 或 者 有 一 个 内 存 池 供 所 有 缓存 进行 存储 。 后 
一 种 情况 下 ， 你 可 以 认为 与 每 个 端口 相关 联 的 两 个 缓存 是 可 变 长 的 ， 限 制 条 件 是 所 有 缓存 的 
大 小 之 和 不 能 超过 该 常量 。 

在 任何 情况 下 ， 每 当 分 组 到 达 ， 它 们 会 存放 在 相应 端口 的 输入 缓存 中 ， 路 由 器 会 检查 每 
个 到 达 的 分 组 ， 根 据 转发 表 进 行路 由 决策 ， 然 后 将 分 组 移动 到 合理 的 输出 缓存 中 ， 分 组 在 出 
口 排 队 时 会 尽 可 能 快 地 传输 出 去 。 每 个 输出 队列 可 以 采用 简单 的 先进 先 出 (FIFO) 方式， 而 
在 更 通常 情况 下 会 考虑 分 组 的 相对 优先 级 等 情况 并 采用 更 为 复杂 的 排队 策略 。 路 由 策略 可 能 
还 会 对 转发 表 的 构建 以 及 不 同 分 组 如 何 处 理 产 生 影响 ， 这 些 策略 可 以 根据 除 目 的 地 址 以 外 的 
其 他 因素 来 确定 路 由 ， 这 些 因素 可 以 是 源 地 址 、 分 组 大 小 或 者 上 层 协 议 等 。 





图 2-10 路 由 器 的 组 成 


图 2-10 中 最 后 的 一 个 组 成 部 分 是 路 由 控制 功能 ， 该 功能 包括 路 由 协议 的 运行 、 路 由 表 
的 自 适应 维护 以 及 拥塞 控制 策略 监视 。 


2.5 拥塞 控制 


如 果 流 量 对 网 络 的 需求 超过 了 网 络 自身 的 能 力 ， 或 者 网 络 无 法 高 效 地 对 流量 进行 管理 ， 
就 会 出 现 拥塞 。 本 节 简 要 介绍 拥塞 的 影响 以 及 实施 拥塞 控制 的 方法 。 
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2.5.1 拥塞 的 影响 


如 果 分 组 的 到 达 速 率 太 快 并 超过 了 路 由 器 能 处 理 它们 的 能 力 (也 即 进行 路 由 决策 )， 或 
者 超过 分 组 从 输出 缓存 离开 的 速度 ， 会 导致 某 些 分 组 在 到 达 时 ， 路 由 器 没有 任何 内 存 资源 可 
用 。 当 到 达 该 饱和 点 时 ， 就 需要 采取 两 种 特定 策略 中 的 一 种 来 应 对 。 第 一 种 策略 是 如 果 分 组 [60 
到 达 时 没有 可 用 的 缓存 空间 ， 这 些 分 组 将 会 被 丢弃 。 另 一 种 策略 是 拥塞 的 结 点 通过 它 的 邻 
居 结 点 进行 某 些 控制 ， 从 而 使 流量 能 
够 保持 可 管 可 控 状 态 。 但 如 图 2-11 所 
示 ， 每 个 结 点 的 邻居 都 同时 管理 着 多 
个 队列 ， 如 果 结 点 6 对 从 结 点 5 发送 
过 来 的 分 组 流 进行 限制 ， 这 将 会 导致 
结 点 5 通 往 结 点 6 的 输出 缓存 被 填 满 , 
因此 ， 网 络 中 的 一 个 点 出 现 拥 塞 会 很 
快 扩散 到 其 所 在 的 区 域 甚至 整个 网 络 。 f 
虽然 流 控制 确实 是 一 种 很 有 效 的 方法 ， ”输出 队列 BARS 
但 需要 将 其 运用 到 整个 网 络 上 来 对 流 
量 进行 管理 。 

理想 的 性 能 

图 2-12 描绘 了 理想 状态 下 的 网 络 利用 率 。 





2-11 网 络 中 队列 的 相互 作用 


标准 化 后 的 吞吐 量 





0.0 05 0 is 2.0 
标准 化 后 的 负载 






标准 化 后 的 时 延 


0.0 0.5 10 15 2.0 
标准 化 后 的 负载 


图 2-12 理想 状态 下 的 网 络 利 用 率 


图 2-12 中 的 上 图 描绘 了 在 稳 态 下 网 络 的 总 吞吐 量 (传输 到 目的 端 系统 的 分 组 数目 ) 随 负 
” 载 ( 源 端 系统 所 传输 的 分 组 数目 ) 的 变化 情况 ， 这 两 个 变量 都 进行 了 标准 化 处 理 。 在 理想 状 
SP, MARS eI, FA SARS, BERR MAM EN. Bia, F 
吐 量 会 一 直 保 持 为 1.0， 即 使 负载 变 得 更 大 。 但 是 ， 需 要 注意 的 是 在 理想 状态 下 分 组 的 平均 
端 到 端 时 延 会 如 何 变化 。 在 负载 很 低 时 ， 时 延 是 一 个 很 小 的 常量 ， 因 为 它 由 源 到 目的 的 传播 
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时 延 以 及 每 个 结 点 的 处 理 时 延 构成 。 随 着 网 络 负载 的 增加 ， 每 个 结 点 又 会 出 现 排队 时 延 ， 整 个 
时 延 就 等 于 排队 时 延 加 上 前 述 固定 大 小 的 时 延 ， 而 这 时 时 延 增加 的 原因 是 每 个 结 点 上 负载 的 
变化 。 当 有 多 个 源 端 向 网 络 发 送 数据 时 ， 即 使 每 个 源 都 以 固定 的 时 间 间 隔 产 生 分 组 ， 每 个 网 
络 结 点 的 输入 速率 仍然 会 出 现 波动 。 当 结 点 出 现 分 组 突 发 时 ， 它 将 花费 一 定 的 时 间 来 处 理 这 
些 不 断 积压 的 分 组 ， 而 由 于 结 点 一 直 在 处 理 这 些 分 组 ， 它 就 会 较 快 地 、 持 续 地 发 送 分 组 ， 这 
就 给 下 游 结 点 也 造成 了 分 组 突 发 。 一 旦 结 点 的 缓存 出 现 了 排队 ， 即 使 分 组 到 达 结 点 的 速率 没 
有 超过 结 点 的 处 理 能 力 ， 这 些 分 组 仍然 需要 在 队列 中 等 待 ， 从 而 产生 额外 的 时 延 。 这 就 是 一 
个 标准 的 排队 论 结论 : 如 果 分 组 的 到 达 速 率 不 是 常量 ， 那 么 时 延 将 会 随 着 负载 的 增加 而 增 大 。 

当 负 载 超过 网 络 的 处 理 能 力 时 ， 时 延 将 会 无 限 增长 ， 这 里 通过 一 个 简单 而 直观 的 例子 来 
说 明 为 什么 时 延 会 变 得 无 穷 大 。 假 定 网 络 中 的 每 个 结 点 的 缓存 大 小 都 是 无 穷 的 ， 而 且 输 入 负 
载 超出 了 网 络 的 处 理 能 力 ， 在 理想 条 件 下 ， 网 络 吞 吐 量 会 持续 保持 为 1.0， 因 此 ， 分 组 离开 
网 络 的 速率 也 为 1.0， 但 是 由 于 分 组 进入 网 络 的 速率 要 大 于 1.0， 网 络 内 结 点 的 排队 长 度 会 
一 直 增 加 。 在 稳定 状态 下 ， 由 于 输入 一 直 大 于 输出 ， 排 队长 度 会 无 限 增 长 ， 因 此 时 延 也 会 无 
限 增加 。 在 对 实际 网 络 条 件 下 的 情况 进行 分 析 之 前 ， 深 入 理解 图 2-12 的 意义 是 非常 重要 的 ， 
图 2-12 是 所 有 流量 和 拥塞 控制 机 制 理 想 但 无 法 达到 的 目标 ， 没 有 任何 机 制 能 超过 图 2-12 所 
描述 的 性 能 。 

实际 的 性 能 

图 2-12 所 描述 的 理想 状况 将 缓存 大 小 设 定 为 无 穷 大 ， 而 且 网 络 中 没有 与 拥塞 控制 相关 
的 开销 ， 但 在 实际 情况 中 ， 缓 存 大 小 是 有 限 的 ， 这 会 导致 缓存 出 现 溢出 ， 而 试图 对 拥塞 进行 
控制 也 会 由 于 控制 信息 的 交互 而 消耗 网 络 的 资源 。 

下 面 考虑 缓存 有 限 而 且 没 有 拥塞 控 
制 或 者 端 系 统 流 量 限制 的 情况 。 具 体 的 
结果 会 因 网 络 的 体系 结构 以 及 流量 呈现 
的 统计 特征 而 不 同 ,但 图 2-13 还 是 描述 
了 一 般 情况 下 的 结果 。 

在 轻 度 负载 下 ， 吞吐 量 和 网 络 利 用 
率 会 随 着 负载 的 增加 而 提高 。 负 载 一 
直 增 加 ， 这 时 会 到 达 一 个 点 (图 中 的 -A 
点 )， 这 时 网 络 吞 吐 量 的 增长 率 低 于 负载 = ; 
增加 的 速率 ， 网 络 开始 进入 中 度 拥塞 状 标准 化 后 的 负载 
态 。 在 中 度 拥 塞 区 域内 ， 虽 然 时 延 会 显 所 有 分 组 的 平均 时 延 
著 增 加 ， 但 是 网 络 仍 能 来 得 及 处 理 负载 。 
这 时 吞吐 量 偏离 理想 状态 时 的 结果 归 因 
于 多 方面 的 因素 ， 首 先是 负载 不 太 可 能 
均匀 地 扩散 到 网 络 各 处 。 因 此 ， 一 些 结 
点 可 能 出 现 了 中 度 拥塞 ， 而 其 他 结 点 则 
出 现 了 重度 拥塞 而 不 得 不 开始 丢弃 某 些 
分 组 。 此 外 ， 随 着 负载 的 增加 ， 网 络 会 
试图 将 某 些 分 组 的 路 由 转移 到 一 些 拥塞 标准 化 后 的 负载 
程度 更 轻 的 区 域 进行 负载 均衡 ， 而 为 了 图 2-13 拥塞 的 结 
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得 到 传输 的 分 组 
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实现 这 种 路 由 功能 ， 需 要 在 结 点 之 间 交 换 一 些 路 由 信息 ， 从 而 相互 通告 出 现 拥塞 的 区 域 ， 这 
些 开 销 会 减少 网 络 可 用 的 资源 。 

随 着 网 络 负载 的 继续 增加 ， 不同 结 点 的 排队 长 度 也 会 不 断 增 加 ， 最 终 会 到 达 另 一 个 点 
(图 中 的 B 点 )， 这 时 吞吐 量 会 随 着 负载 的 增加 而 开始 降低 ， 因 为 每 个 结 点 的 缓存 大 小 是 有 限 
的 。 当 缓存 填 满 后 ， 结 点 必须 丢弃 某 些 分 组 ， 因 此 ， 源 端 不 得 不 重 传 这 些 被 丢弃 的 分 组 。 这 
就 新 增加 了 分 组 ， 并 使 网 络 拥塞 情况 进一步 恶化 : 越 来 越 多 的 分 组 被 重 传 ， 网 络 的 负载 变 得 
更 高 ， 同 时 更 多 缓存 会 出 现 溢 出 。 当 系统 尽力 去 处 理 累 积 的 分 组 时 ， 用 户 仍 会 一 直 向 网 络 中 
发 送 旧 的 和 新 的 分 组 ， 即 使 成 功 送 达 目 的 地 的 分 组 也 可 能 会 由 于 花费 了 太 长 时 间 未 得 到 高 层 
(例如 运输 层 ) 确认 而 再 次 被 重 传 : 发 送 方 会 认为 分 组 未 能 通过 网 络 而 进行 重 传 。 在 这 种 情 
况 下 ， 网 络 的 有 效 利 用 率 将 会 降 为 零 。 


2.5.2 ”拥塞 控制 技术 
图 2-14 对 一 些 重 要 的 拥塞 控制 机 制 进行 了 描述 ， 本 节 将 会 对 其 一 一 介绍 。 





图 2-14 拥塞 控制 相关 机 制 


反 向 压力 

利用 链 路 或 逻辑 连接 (如 虚 电 路 ) 可 以 实施 反 向 压力 。 参 考 图 2-11 ， 如 果 结 点 6 开始 拥 
E (缓存 被 充满 )， 结 点 6 将 会 降低 或 者 中 止 对 结 点 5 (也 可 以 是 结 点 3 或 者 结 点 5 和 结 点 3 ) 
所 发 送 过 来 分 组 的 处 理 。 如 果 这 一 限制 持续 下 去 ， 结 点 5 也 将 不 得 不 对 其 输入 端 链 路 的 流量 
进行 减速 或 中 止 处 理 。 这 一 流量 限制 过 程 会 一 直 反 向 (与 流量 的 传输 方向 相反 ) 传播 到 源 端 ， 
它们 将 会 限制 新 分 组 进入 网 络 。 

特定 链 路 上 的 流量 反 向 压力 由 数据 链 路 层 协 议 的 流 控制 机 制 自动 激活 ， 反 向 压力 也 可 以 
有 选择 性 地 应 用 到 逻辑 链 路 上 ， 从 而 使 得 从 一 个 结 点 到 下 一 个 结 点 的 链 路 上 只 有 某 些 连接 
的 流 会 受到 限制 或 中 止 传输 ， 通常 这 些 连接 都 是 流量 最 大 的 连接 。 在 这 种 情况 下 ， 这 条 流 所 
受到 的 限制 会 沿 着 连接 反 向 传播 到 源 端 ， 该 机 制 用 于 帧 中 继 和 异步 传输 模式 (Asynchronous 
Transfer Mode, ATM) 网 络 中 。 但 是 ， 这 些 网 络 已 经 逐步 被 以 太 网 和 多 协议 标签 交换 
(Multiprotocol Label Switching, MPLS) 网 所 取代 。 

阻塞 分 组 

阻塞 分 组 是 一 个 控制 分 组 ， 它 由 出 现 了 拥塞 的 结 点 产生 ， 并 发 送 给 源 结 点 来 限制 流量 。 
路 由 器 或 目的 端 系统 可 以 将 该 报 文 发 送 给 源 端 系统 ， 要 求 它 降低 向 目的 端 发 送 流量 的 速率 。 
一 旦 接收 到 阻塞 分 组 ， 源 主机 应 当 立 即 减少 发 送 给 目的 主机 的 流速 ， 直 至 不 再 接收 到 阻塞 分 
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组 为 止 。 阻 塞 分 组 只 能 由 那些 因为 缓存 溢出 而 不 得 不 丢 包 的 路 由 器 或 主机 使 用 ， 这 种 情况 
下 ， 路 由 器 或 主机 会 向 它 所 丢弃 每 个 分 组 的 源 端 发 出 一 个 阻塞 分 组 。 此 外 ， 系 统 也 可 以 在 组 
存 接近 它们 存储 能 力 的 时 候 提 前 发 送 阻 塞 分 组 。 在 这 种 情况 下 ， 阻 塞 分 组 接收 端 所 发 送 的 分 
组 仍 可 能 会 得 到 有 效 传输 。 因 此 ， 接 收 到 阻塞 分 组 并 不 意味 着 相应 的 分 组 得 到 了 传输 或 者 被 
EF 

隐 式 拥塞 信号 

当 网 络 发 生 拥塞 时 ， 可 能 会 出 现 两 种 情况 : 

1) 从 源 到 目的 的 分 组 传输 时 延 会 增加 ， 并 远 高 于 固定 的 传播 时 延 。 

2 ) 分 组 被 丢弃 。 

如 果 源 端 检测 到 时 延 增 加 或 者 分 组 丢失 ， 这 就 是 网 络 出 现 拥 塞 的 间接 证 明 ， 而 如 果 所 有 源 
端 都 能 检测 到 拥塞 ， 并 根据 拥塞 情况 相应 地 降低 发 送 速率 ， 网 络 拥塞 就 能 得 到 缓解 。 因 此 ， 端 
系统 可 以 根据 这 些 隐 式 的 拥塞 信号 来 进行 拥塞 控制 ， 而 且 不 需要 对 于 网 络 结 点 进行 任何 操作 。 

隐 式 信号 在 无 连接 或 数据 报 网 络 (如 IP 网 络 ) 中 是 一 种 有 效 的 拥塞 控制 技术 ， 在 这 种 情 
况 下 ， 网 络 中 的 流 受 到 管控 时 端 系统 并 没有 与 网 络 建立 逻辑 连接 。 但 是 ， 端 系统 之 间 可 以 利 
用 TCP ÆRE, m TCP 包含 TCP 报 文 段 接收 确认 机 制 ， 以 及 对 源 和 目的 之 间 的 
数据 流 进行 控制 的 机 制 。 

显 式 拥塞 信号 

我 们 总 是 期 望 能 在 尽 可 能 多 地 利用 网 络 资源 的 同时 以 可 控 和 公平 的 方式 对 拥塞 进行 响 
应 ， 这 就 是 显 式 拥塞 避免 技术 的 目标 。 一 般 对 于 显 式 拥塞 避免 来 说 ， 网 络 在 拥塞 程度 不 断 提 
高 时 会 向 端 系统 告警 ， 而 端 系统 则 会 采取 措施 来 降低 施加 到 网 络 的 负载 。 

显 式 拥 塞 信号 可 以 向 下 列 两 个 方向 之 一 发 送 。 

e 后 向 : 通知 源 端 启动 拥塞 避免 机 制 ， 并 将 其 应 用 在 与 告警 分 组 相反 方向 的 流 上 ， 它 
表明 用 户 发 送 分 组 时 的 逻辑 链 路 遇 到 了 拥塞 。 后 向 信息 可 以 通过 发 送 给 源 端的 分 组 
首部 的 告警 比特 或 者 专门 的 控制 分 组 来 传递 。 

e 前 向 : 通知 用 户 启动 拥塞 避免 机 制 ， 并 将 其 应 用 在 与 告警 分 组 相同 方向 的 流 上 ， 它 表 
明 告 警 分 组 所 在 的 逻辑 链 路 遇 到 了 拥塞 。 这 里 的 前 向 信息 同样 可 以 通过 分 组 首部 的 
告警 比特 或 者 专门 的 控制 分 组 来 传递 。 在 有 些 机 制 中 ， 当 端 系统 接收 到 前 向 信号 时 ， 
它 会 响应 一 个 信号 ， 这 个 信号 会 沿 着 逻辑 链 路 发 送 给 源 端 ， 而 在 其 他 机 制 下 则 期 望 
端 系统 在 更 高 层次 (如 TCP) 对 源 端 系统 实施 流量 控制 。 

显 式 拥塞 信和 号 大 致 可 以 划分 为 以 下 三 类 。 

e 二 元 信号 : 拥塞 结 点 对 分 组 的 某 个 比特 进行 设置 ， 并 对 其 进行 转发 。 当 源 端 接收 到 

某 个 逻辑 链 路 上 的 拥塞 信号 时 ， 它 会 降低 这 条 链 路 的 流量 发 送 速 率 。 

基于 信用 的 信号 : 这 一 类 机 制 通过 一 个 逻辑 连接 为 源 端 提供 一 个 显 式 的 信用 值 ， 该 
信用 值 表明 源 端 可 以 发 送 多 少 字 节 或 者 分 组 。 当 该 信用 值 用 完 时 ， 源 端 必 须 等 到 新 
的 信用 值 才 能 继续 发 送 数据 。 基 于 信用 的 机 制 在 端 到 端 流 量 控制 中 很 常用 ， 目 的 端 
会 使 用 信用 值 来 防止 源 端 发 送 过 快 而 造成 目的 端 缓存 溢出 。 对 于 拥塞 控制 ， 也 考虑 
基于 信用 值 的 机 制 ， 目 前 这 些 机 制 已 经 在 帧 中 继 和 ATM 网 络 中 得 到 定义 。 

基于 速率 的 信号 : 这 类 机 制 会 向 源 端 指明 一 个 显 式 的 速率 限制 ， 源 端 可 以 以 不 高 于 
该 限制 的 速率 来 发 送 数据 。 为 了 进行 拥塞 控制 ， 传 输 路 径 上 的 任何 结 点 都 可 以 通过 
给 源 端 发 送 控制 报 文 来 降低 该 速率 限制 的 值 。 
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2.6 SDN #1 NFV 


随 着 大 数据 、 云 计算 和 移动 流量 等 大 需求 数据 源 的 出 现 ， 网 络 中 产生 了 海量 种 类 繁多 的 
流量 ， 这 也 使 得 满足 严格 的 QoS 和 QoE 需求 变 得 非常 困难 。 网 络 应 当 适 应 性 强 、 可 扩展 性 
高 ， 而 为 了 实现 网 络 的 适应 性 和 可 扩展 性 ， 有 两 种 技术 在 各 种 网 络 服务 和 应 用 中 得 到 了 快 
速 部 署 ， 它 们 分 别 是 软件 定义 网 络 (software-defined networking, SDN) 和 网 络 功 能 虚拟 化 
( network functions virtualization, NFV)。 由 于 本 书后 面 将 花费 大 量 篇 幅 对 这 两 种 技术 进行 介 
绍 ， 因 此 这 里 只 是 做 一 个 简要 的 说 明 。 


2.6.1 软件 定义 网 络 


SDN 正在 逐步 替代 传统 的 网 络 模型 ， 它 让 网 络 可 以 提供 更 强 的 灵活 性 和 可 定制 性 ， 从 
而 满足 新 型 网 络 以 及 IT 流行 趋势 (例如 云 、 移 动 、 社 交 网 络 和 视频 ) 的 需求 (参见 本 书 第 二 
部 分 )。 


软件 定义 网 络 “一 种 大 规模 网 络 设计 、 构 建 和 运 维 的 方法 ， 它 利用 了 中 央 服 务 器 中 的 
软件 对 路 由 器 和 交换 机 的 转发 决策 进行 编程 。SDN 与 传统 网 络 不 同 ， 传 统 网 络 需要 对 每 
台 设备 都 进行 独立 的 配置 ， 而 此 斯 依赖 的 协议 无 法 进行 修改 。 


SDN 功能 

涉及 路 由 器 转发 分 组 的 两 部 分 要 素 分 别 是 控制 功能 和 数据 功能 ， 其 中 控制 功能 负责 决定 
数据 流 的 路 由 以 及 各 条 流 的 相对 优先 级 ， 数 据 功能 负责 根据 控制 功能 的 决策 来 转发 数据 。 在 
SDN 出 现 之 前 ， 这 两 种 功能 都 以 集成 的 方式 在 每 台 网 络 设备 (路 由 器 、 网 桥 、 交 换 机 等 ) 中 
实现 。 传 统 网 络 中 的 控制 通过 路 由 和 网 络 控制 协议 来 实施 ， 并 在 每 个 网 络 结 点 中 实现 ， 这 种 
方法 相对 来 说 不 太 灵 活 ， 而 且 所 有 网 络 结 点 都 要 采用 相同 的 协议 。 而 在 SDN 中 ， 中 央 控 制 
器 完成 所 有 复杂 的 功能 ， 包 括 路 由 、 命 名 、 策 略 声明 和 安全 性 检查 (如 图 2-15 所 示 )。 

上 述 要 素 构成 了 SDN 控制 平面 ， 该 平 
面 可 以 有 一 个 或 多 个 SDN 控制 器 ， 而 SDN 
控制 器 则 对 SDN 数据 平面 的 数据 流 进行 定 
义 ， 网 络 中 的 每 条 流 也 都 由 控制 器 来 进行 
配置 ， 控 制 器 会 根据 网 络 策略 来 判定 是 否 
允许 此 次 通信 。 如 果 控 制 器 允许 某 条 流 访 
问 端 系 统 ， 那 么 它 会 为 这 条 流 计算 出 一 条 
路 由 ， 并 将 对 应 的 流 表 项 添加 到 路 由 所 涉 
及 的 所 有 交换 机 上 。 由 于 所 有 复杂 的 工作 
都 交 给 了 控制 器 ， 因 此 交换 机 只 需要 对 流 图 2-15 软件 定义 网 络 
表 进 行 简单 的 管理 ， 而 流 表 中 的 表 项 只 能 由 控制 器 来 修改 。 这 些 交换 机 构成 了 SDN 的 数据 
平面 ， 控 制 器 与 交换 机 之 间 的 通信 采用 标准 协议 来 完成 。 

主要 动因 

驱动 SDN 的 一 个 因素 是 服务 器 虚拟 化 的 日 益 普及 。 服 务 器 虚拟 化 在 本 质 上 隐蔽 了 服务 
器 资源 ， 这 些 资源 包括 物理 服务 器 、 处 理 器 和 操作 系统 的 数量 及 标识 。 这 就 使 得 可 以 把 一 台 
主机 划分 为 多 台独 立 的 服务 器 ， 而 且 每 个 服务 器 都 保留 相应 的 硬件 资源 。 它 还 能 实现 服务 器 
从 一 台 主机 到 另 一 台 主 机 的 快速 迁移 ， 从 而 实现 负载 均衡 或 者 服务 器 故障 时 的 动态 切换 。 服 
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务 絮 虚拟 化 已 经 成 为 处 理 大 数据 应 用 、 实 现 云 计算 基础 设施 的 核心 要 素 , 但 是 它 给 传统 网 
络 体系 结构 带 来 了 很 多 问题 ， 第 一 个 问题 是 配置 虚拟 局 域 网 ( VLAN)。 网 络 管理 员 需 要 确 
保 虚拟 机 (VM) 所 使 用 的 VLAN 被 指派 到 与 运行 VM 的 服务 器 相同 的 交换 机 端口 上 。 但 是 
为 了 保证 VM 是 可 迁移 的 ， 每 次 虚拟 服务 器 迁移 后 需要 对 VLAN 进行 重 配置 。 在 通常 情况 
下 ， 为 了 发 挥 服 务 器 虚拟 化 的 灵活 性 ， 网 络 管理 员 需 要 能 动态 增加 、 取 消 和 改变 网 络 资源 和 
结构 ， 这 在 传统 网 络 交换 机 上 非常 难以 实现 ， 因 为 这 些 交 换 机 的 控制 逻辑 和 交换 逻辑 集成 在 
一 起 。 

服务 器 虚拟 化 的 另 一 个 影响 是 流量 模式 与 传统 的 客户 机 / 服务 器 模式 大 为 不 同 。 通 常 来 
说 ， 虚 拟 服务 器 之 间 也 会 传输 相当 多 的 流量 ， 这 些 流 量 用 于 维护 数据 库 镜像 的 一 致 性 和 实施 
准 人 控制 等 安全 机 制 。 这 些 服务 器 到 服务 器 的 流量 在 位 置 和 强度 上 会 随时 间 不 断 变化 ， 这 就 
需要 有 一 种 灵活 的 方法 来 对 网 络 资源 进行 管理 。 

另外 ， 使 用 智能 手机 、 平 板 电脑 和 笔记 本 电脑 等 移动 设备 访问 企业 资源 情况 的 不 断 增 
多 ， 这 也 要 求 对 网 络 资源 分 配 进行 快速 响应 。 这 些 设 备 会 给 网 络 带 来 大 量 快速 变化 和 不 可 预 
测 的 流量 负载 ， 而 且 它 们 的 网 络 接 入 点 也 会 不 断 变 化 。 网 络 管理 员 必 须 能 响应 这 些 移动 设备 
快速 变化 的 资源 、QoS 和 安全 性 需求 。 

现 有 的 网 络 基础 设施 可 以 响应 不 断 变 化 的 流量 管理 需求 ， 并 为 各 条 流 提供 不 同 的 QoS 
和 安全 等 级 服务 。 但 是 在 企业 网 很 大 或 者 涉及 多 个 厂商 的 网 络 设备 时 ， 这 些 处 理 需 要 耗费 大 
量 的 时 间 ， 网 络 管理 员 必 须 分 别 配 置 每 台 设 备 ， 并 在 每 个 会 话 、 每 种 应 用 的 基础 上 对 性 能 和 
安全 性 参数 进行 调整 。 在 大 型 企业 网 中 ， 每 次 增加 一 个 新 的 VM， 网 络 管理 员 将 花费 几 个 小 
时 甚至 几 天 时 间 来 完成 一 些 必 要 的 重 配置 。 


2.6.2 网络 功 能 虚拟 化 


BUSCH SDN 的 介绍 提 到 SDN 发 展 的 一 大 动因 是 需要 保证 网 络 的 灵活 性 以 应 对 服务 器 虚 
拟 化 的 普及 ， 而 到 目前 为 止 ， 因特网 和 企业 网 中 的 VM 技术 已 经 运用 到 数据 库 、 云 、Web、 
电子 邮件 等 应 用 级 服务 器 当中 (参见 本 书 第 三 部 分 )。 而 相同 的 技术 也 可 以 应 用 到 网 络 设 备 
上 ， 例 如 路 由 器 、 交 换 机 、 防 火 墙 和 IDS/IPS 服务 器 (如 图 2-16 所 示 )。 

网 络 功 能 虚拟 化 (network functions virtualization, NFV) 将 路 由 、 防 火 墙 、 入 侵 检 测 、 
网 络 地 址 转换 等 网 络 功能 从 专用 硬件 平台 分 离 出 来 ， 并 在 软件 上 实现 了 这 些 功能 。NFYV 在 
高 性 能 硬件 上 利用 标准 的 虚拟 化 技术 对 网 络 功能 进行 虚拟 化 ， 可 以 适用 于 任意 有 线 和 无 线 网 
络 中 的 数据 平面 处 理 和 控制 平面 功能 。 


网 络 功能 虚拟 化 he gt tpt i he 
行 在 虚拟 机 上 。 bea 


NFV 45 SDN 有 许多 共同 的 特征 ， 它 们 的 目标 都 是 : 

o 将 功能 迁移 到 软件 中 实现 。 

o 使 用 商用 硬件 平台 来 蔡 代 专用 平台 。 

o 使 用 标准 化 或 开放 的 应 用 程序 编程 接口 (API) 。 

e 支持 更 高 效 的 网 络 功能 演化 、 部 署 和 位 置 调整 。 

NFV 和 SDN 是 独立 而 又 互补 的 机 制 。SDN 将 网 络 流量 控制 的 数据 平面 和 控制 平面 分 离 
开 来 ， 使 得 数据 流 的 控制 和 路 由 变 得 更 加 灵活 和 高 效 。 而 NFV 则 利用 虚拟 化 技术 将 网 络 功 
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能 从 特定 硬件 平台 分 离 出 来 ， 从 而 使 这 些 功能 更 加 高 效 和 灵活 地 实现 。 虚 拟 化 技术 可 以 应 用 
到 路 由 器 的 数据 转发 功能 和 其 他 网 络 功能 上 ， 包 括 SDN 控制 器 的 功能 等 ， 这 样 两 种 技术 可 
以 单独 使 用 ， 也 可 以 结合 起 来 取得 更 大 的 收益 。 


虚拟 化 平台 


独立 的 网 络 设备 平台 


pes if 7 
as RNL | FF: 


虚拟 机 监视 器 ( 管理 程序 ) 





IDS/IPS 
图 2-16 网 络 功能 虚拟 化 


27 ”现代 网 络 要 素 
本 章 将 以 介绍 本 书 所 涉及 的 现代 网 络 要 素 如 


何 组 成 一 个 整体 来 结束 (如 图 2-17 所 示 )， 后 面 € yeaa 
的 讨论 会 根据 图 的 内 容 自 底 向 上 来 进行 。 有 

网 络 服务 提供 商 最 终 所 关心 的 还 是 网 络 设备 -A i 
(如 路 由 器 ) 和 这 些 设备 所 实现 功能 (如 分 组 转发 ) nana > 71 
的 控制 和 管理 。 如 果 采 用 NFV 技术 ， 这 些 网 络 (tas) Fy 


功能 都 以 软件 的 形式 实现 ， 并 运行 在 虚拟 机 中 。 
而 如 果 这 些 网 络 功能 在 专用 设备 上 完成 ， 并 且 采 
用 SDN 技术 ,那么 中 央 控 制 器 将 完成 控制 功能 ， 
它 会 与 网 络 设备 进行 交互 。 

然而 ，SDN A NFV 技术 并 不 是 互 斥 的 ， 如 
果 网 络 同时 采用 了 SDN AINFV, 那么 它们 之 间 
要 保持 下 述 关系 : 

e 网 络 的 数据 平面 功能 在 虚拟 机 上 实现 。 

e 控制 平面 的 功能 可 以 在 专用 的 SDN 平台 a 

或 者 SDN 虚拟 机 上 实现 。 图 2-17 现代 网 络 系统 
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无 论 采 用 上 述 哪 种 控制 平面 实现 方法 ，SDN 控制 器 都 要 与 运行 在 虚拟 机 上 的 数据 平面 
进行 交互 。 

Qos 测度 通常 用 于 为 不 同 网 络 用 户 指定 相应 的 服务 和 设 定 网 络 的 流量 管理 策略 。 目 前 ， 
实现 QoS 的 常见 案例 都 没有 采用 NFV 和 SDN， 这 种 情况 下 ， 路 由 和 流量 控制 策略 必须 通 
过 各 种 自动 化 或 人 工 方式 直接 在 网 络 设备 上 配置 实现 。 如 果 采 用 了 NFV 而 没有 使 用 SDN, 
QoS 的 设置 由 虚拟 机 来 完成 。 如 果 采 用 了 SDN, 无 论 是 否 采用 了 NFV, SDN 控制 器 都 将 负 
责 实施 QoS 参数 。 

如 果 将 QoE 考虑 进来 ， 这 些 技术 会 用 于 调整 QoS 参数 ， 从 而 满足 用 户 的 QoE 需求 。 


2.8 重要 术语 
学 完 本 章 后 ， 你 应 该 能 够 定义 下 列 术 语 。 
分 析 网 络 功能 虚拟 化 (NFV) 
自治 系统 运 维 支持 系统 (OSS) 
大 数据 分 组 转发 
云 计 算 体验 质量 (QoE) 
拥塞 服务 质量 (QoS) 
时 延 抖动 实时 流量 
弹性 流量 路 由 器 
外 部 路 由 器 协议 (ERP ) 路 由 选择 
非 弹 性 流量 路 由 协议 
内 部 路 由 器 协议 (IRP) 软件 定义 网 络 (SDN) 
互联 网 虚拟 机 (VM) 
因特网 
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钦 件 定义 网 络 





有 个 人 梦想 建立 一 个 铁路 系统 ， 将 所 有 重要 的 火车 站 都 连通 起 来 ， 他 的 名 字 
叫 Charles Pearsons $% $% Pearson 是 个 家 具 店 老板 的 儿子， 但 是 他 却 成 了 伦敦 市 的 
检察 官 。 以 前 他 有 个 计划 是 建立 一 个 用 煤气 灯 照 明 的 地 下 通道 ， 让 马车 也 能 从 中 通 
过 ， 但 是 这 个 计划 最 终 被 放弃 ， 因 为 这 个 地 下 通道 可 能 成 为 小 偷 的 聚集 之 所 。 在 他 
的 铁路 系统 建立 的 20 多 年 前 ，Pearson 还 设想 过 铁路 线 沿 着 照明 和 通风 条 件 良 好 的 
“宽敞 拱 道 ” 来 修建 。 
这 个 计划 最 后 成 了 地 铁 的 锥 形 。 
— (f 118 £4534), Barbara Vine (Ruth Rendell) 
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第 4 章 SDN 数据 平面 和 OpenFlow 
第 5 章 SDN 控制 平面 

第 6 章 SDN 应 用 平面 


现代 网 络 的 核心 是 软件 定义 网 络 (software-defined networking, SDN)， 第 二 部 分 将 广泛 
而 全 面 地 介绍 SDN 相关 概念 、 技 术 和 应 用 。 第 3 章 会 探讨 SDN 方法 是 什么 以 及 它 出 现 的 迫 
切 需 求 ， 并 对 SDN 体系 结构 进行 总 体 概述 ， 这 一 章 还 会 对 制定 和 研究 SDN 标准 及 规范 的 组 
织 机 构 进行 介绍 。 第 4 章 将 详细 介绍 SDN 的 数据 平面 ， 包 括 关键 组 件 、 组 件 之 间 的 交互 方 
式 、 组 件 的 管理 方法 等 。 这 一 章 的 大 部 分 内 容 会 集中 在 OpenFlow 上 ， 它 是 一 个 非常 重要 的 
数据 平面 技术 ， 为 控制 平面 提供 了 接口 。 这 一 章 会 解释 为 什么 需要 OpenFlow， 随 后 还 会 进 
行 更 为 详细 的 技术 说 明 。 第 5 章 着 重 介绍 SDN 控制 平面 ， 包 括 对 OpenDaylight 的 探讨 ， 这 
是 一 个 很 重要 的 开源 控制 平面 。 第 6 章 涵盖 SDN 应 用 平面 的 内 容 ， 这 一 章 除了 研究 通用 的 
SDN 应 用 平面 体系 结构 之 外 ， 还 会 介绍 SDN 所 支持 的 6 个 主要 应 用 领域 ,以 及 一 些 SDN 
应 用 案例 。 
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未 来 网 络 的 需求 正在 考虑 之 中 ， 该 网 络 将 会 是 全 部 由 数字 化 数据 构成 的 分 布 
式 网 络 ， 可 以 为 广大 有 着 不 同 需求 的 用 户 提供 通用 用 户 服务 。 使 用 标准 格式 的 消 
息 模 块 将 使 交换 机 制 相对 简单 ， 该 机 制 可 以 采用 自 适 应 的 存储 转发 路 由 策略 来 处 
理 所 有 形式 的 数字 化 数据 ， 其 中 包括 实时 话音 数据 。 这 种 网 络 还 能 快速 响应 网 络 
状态 的 变化 。 





“分 布 式 通信 : 分 布 式 通信 网 络 概述 ”,《 兰 德 报告 RM-3420-PR ), 
Paul Baran，1964 年 8 月 


本 章 目 标 

学 完 本章 后 ， 你 应 当 能 够 : 

e 说 明 传 统 网 络 有 哪些 地 方 不 符合 现代 网 络 的 需求 。 

o 列举 并 解释 SDN 体系 架构 的 主要 需求 。 

e 说 明 SDN 的 总 体 架 构 ， 解 释 北 向 和 南 向 API 接口 的 意思 。 
o 总 结 不 同 组 织 机 构 在 SDN 和 NFYV 标准 化 过 程 中 所 做 的 工作 。 
本 章 将 从 解释 SDN 相关 背景 与 动机 来 开始 SDN 内 容 的 介绍 。 


3.1 不 断 演化 的 网 络 需求 


一 些 网 络 变化 趋势 正在 推动 网 络 提 供 商 和 网 络 用 户 对 传统 的 网 络 体 系 结构 进行 重新 评 
估 ， 这 些 变化 趋势 可 以 划分 为 需求 、 供 给 和 流量 模式 这 三 类 。 


3.1.1 需求 在 不 断 增长 


我 们 在 第 2 章 中 介绍 了 当前 网 络 的 一 些 变化 趋势 是 企业 网 、 因 特 网 和 其 他 互联 网 络 的 负 
载 在 不 断 增加 ， 这 其 中 特别 值得 注意 的 方面 包括 以 下 几 个 。 

e 云 计算 : 当前 企业 正在 快速 地 向 公有 和 私有 云 服务 上 迁移 。 

e 大 数据 : 海量 数据 集 需要 在 上 千 台 服务 器 上 并 行 处 理 ， 这 些 服 务 器 之 间 的 互 连 程度 
要 求 较 高 ， 因 此 ， 数 据 中 心 的 网 络 容量 需求 呈现 持续 较 快 的 增长 。 

e 移动 数据 : 公司 员工 通过 智能 手机 、 平 板 电脑 、 笔 记 本 等 个 人 移动 设备 访问 企业 网 
资源 的 数量 也 在 不 断 增 加 ， 这 些 设 备 支持 复杂 的 应 用 ， 而 这 些 应 用 会 产生 大 量 的 图 
片 和 视频 流量 ,会 给 企业 网 带 来 新 的 负担 。 

e 物 联 网 (Internet of Things, loT): 除了 监控 视频 探头 以 外 ， 物 联网 中 的 绝 大 多 数 “ 物 ” 
都 会 产生 一 些 流 量 ， 这 些 设备 会 给 某 些 企业 网 带 来 很 大 的 负担 。 


3.1.2 ”供给 在 不 断 增 长 
网 络 的 需求 在 不 断 增 加 ， 网 络 技术 也 在 不 断 进 步 来 消化 吸收 这 些 负 载 。 就 传输 技术 来 
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说 ,第 1 章 中 提 到 的 现在 主流 的 有 线 和 无 线 网 络 技术 ， 即 以 太 网 和 Wi-Fi， 都 已 经 达到 了 每 
秒 千 兆 〈Gbps) 的 带宽 。 类 似 地 ，4G 和 5G 蜂窝 网 络 提供 了 更 高 的 容量 来 支持 远程 用 户 的 移 
动 设备 通过 蜂窝 网 络 而 非 Wi-Fi 访问 企业 网 。 

网 络 传输 技术 的 提高 与 以 太 网 交换 机 、 路 由 器 、 防 火 墙 、 和 人 侵 检 测 系 统 / 入 侵 防 御 系 统 
(IDS/IPS)、 网 络 监 视 和 管理 系统 等 网 络 设备 性 能 的 提高 相 呼 应 。 年 复 一 年 ， 这 些 设备 的 内 存 
容量 变 得 更 大 、 访 问 速 度 也 更 快 ， 使 得 缓存 容量 、 缓 存 访问 速度 、 处 理 器 速度 都 更 高 。 


3.1.3 流量 模式 更 为 复杂 


如 果 仅 仅 是 供给 与 需求 之 间 的 关系 ， 现 在 的 网 络 也 还 能 够 应 付 当前 的 数据 流量 ， 但 是 由 
于 流量 模式 变 得 更 为 复杂 ， 传 统 企业 网 的 体系 结构 已 经 越 来 越 不 适应 当前 的 需求 变化 。 

截至 目前 ， 典 型 的 企业 网 体系 结构 由 本 地 或 校区 级 以 太 网 交换 机 形成 的 树 结构 ， 以 及 连 
接 到 更 大 的 局 域 网 和 互联 网 、 广 域 网 设备 的 路 由 器 组 成 ， 这 种 体系 结构 非常 适用 于 客户 机 
/服务 器 计算 模型 ， 这 种 计算 模型 一 度 在 企业 网 环境 中 占据 了 主流 。 在 客户 机 / 服务 器 模型 
下 ,交互 和 流量 往往 都 发 生 在 某 个 客户 机 和 某 个 服务 器 之 间 ， 这 时 ， 客 户 机 和 服务 器 地 理 位 
置 相 对 固定 ， 客 户 机 与 服务 器 之 间 的 流量 大 小 也 相对 容易 预测 ， 可 以 根据 这 些 信息 来 对 网 络 
进行 部 署 。 

一 些 发 展 和 变化 导致 企业 数据 中 心 、 本 地 和 区 域 性 企业 网 、 承 载 网 内 的 流量 模式 动态 性 

和 复杂 性 都 异常 高 ， 这 些 变 化 主要 包括 : 

© 客户 机 /服务 器 类 应 用 通常 会 访问 若干 数据 库 和 服务 器 ， 而 这 些 数据 库 和 服务 器 之 间 
需要 相互 通信 ， 这 就 产生 了 大 量 服 务 器 与 服务 器 之 间 的 “横向 ”流量 和 服务 器 与 客 
户 机 之 间 的 “纵向 ”流量 。 

e 话音 、 数 据 和 视频 等 大 量 多 媒体 数据 流量 在 网 络 中 汇集 ， 使 得 流量 模式 变 得 更 加 难 
以 预测 。 

e 统一 通信 (unified communications, UC) 需要 频繁 使 用 应 用 程序 ， 会 引发 对 多 个 服务 
器 的 访问 。 

e 包括 自 带 设备 在 内 的 移动 设备 的 频繁 使 用 使 得 用 户 在 任意 时 间 任 意 地 点 用 任意 设备 
访问 公司 的 数据 和 应 用 。 第 2 章 的 图 2-6 指出 ， 移 动 流量 所 占 企业 网 流量 的 比例 越 来 
越 高 。 

© 公有 云 的 广泛 使 用 使 得 很 多 企业 以 前 的 本 地 流量 都 转移 到 广域网 中 ， 这 就 给 企业 的 
路 由 器 增加 了 很 大 的 负载 ， 而 且 这 些 负载 常常 很 难 预测 。 

e 当前 常用 的 应 用 程序 和 数据 库 服 务 器 虚拟 化 使 得 需要 高 带宽 网 络 接 人 的 主机 数量 显 
著 增 加 ， 还 导致 了 服务 器 资源 的 物理 位 置 经 常 变 化 。 


3.1.4 传统 的 网 络 体系 结构 已 经 不 再 适用 


即使 采用 了 更 高 容量 的 传输 机 制 和 性 能 更 好 的 网 络 设 备 ， 传 统 网 络 体系 结构 在 面 对 不 断 
增加 的 复杂 性 、 动 态 性 以 及 负载 数量 时 还 是 变 得 越 来 越 不 适用 。 此 外 ， 由 于 应 用 程序 日 益 多 
样 化 ， 对 网 络 的 服务 质量 和 体验 质量 的 需求 也 在 不 断 扩 展 ， 必 须 以 更 加 成 熟 和 灵巧 的 方法 来 
处 理 流 量 负载 。 

传统 的 网 络 互联 方法 以 TCP/IP 协议 体系 结构 为 基础 ， 这 种 方法 有 三 个 值得 注意 的 
特征 : 
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© 两 级 端 系统 寻 址 
o 基于 目的 地 址 的 路 由 选择 
e 分 布 式 、 自 治 的 控制 


TCP/IP 协议 体系 结构 该 协议 体系 结构 围绕 TCP 和 IP 协议 构建， 包括 五 个 层次 : 
物理 层 、 数据 链 路 层 、 网 络 / 因特网 GUEA IP) 层 、 运 输 层 《通常 为 TCP R UDP) 和 应 
ae an 


下 面 依次 介绍 这 些 特征 。 

传统 的 体系 结构 极 大 地 依赖 于 网 络 接口 标识 ， 在 TCP/IP 模型 的 物理 层 ， 接 人 到 网 络 的 
设备 通过 以 太 网 MAC 地 址 等 硬件 标识 符 来 进行 标识 ， 而 因特网 和 私有 互联 网 等 互联 网 络 层 
是 网 络 中 的 网 络 。 每 个 接 人 设备 都 有 一 个 物理 层 标 识 符 ， 可 以 在 它 直 接连 接 的 网 络 内 识别 ， 
此 外 还 有 一 个 逻辑 网 络 标识 符 ， 即 IP 地 址 ， 它 提供 了 全 局 的 可 见 性 。 

TCP/IP 设计 模型 使 用 IP 寻 址 机 制 和 分 布 式 控制 来 支持 自治 网 络 的 联网 ， 该 体系 结构 提 
供 了 较 高 的 弹性 和 可 扩展 性 来 容纳 新 网 络 的 加 入 。 使 用 IP 和 分 布 式 路 由 协议 ， 路 由 信息 可 
以 在 互联 网 络 各 处 传递 和 使 用 ， 而 使 用 TCP 等 运输 层 协议 ， 可 以 通过 分 布 式 算法 来 响应 网 
络 拥塞 。 

传统 上 ， 路 由 是 根据 每 个 分 组 的 目的 地 址 来 选择 的 。 在 数据 报 (datagram) 机 制 中 ， 源 
和 目的 之 间 连 续 的 分 组 可 以 沿 着 不 同 的 路 由 穿越 互联 网 ， 因 为 路 由 器 为 每 个 分 组 (packet) 独 
立 寻找 时 延 最 短 的 路 径 。 当 前 ， 为 了 满足 用 户 的 QoS 需求 ， 数 据 经 常 以 分 组 流 (fow) 的 形 
式 进 行 处 理 ， 一 条 特定 流 中 的 分 组 定义 了 相应 的 QoS 特征 ， 这 些 特 征 会 影响 整 条 流 的 路 由 。 


数据 报 “每 个 分 组 在 分 组 交换 时 都 单独 行 处 理 ， 一 个 数据 报 承载 着 尽 够 的 路 由 信息 
来 从 源 端 到 目的 端 ， 而 不 需要 在 端 结 点 之 问 建立 一 条 惕 辑 连接 。 


”分 组 穿越 网 络 的 数据 传输 单元 ， 一 个 分 组 由 一 组 比特 构成 ， 包括 数据 和 协议 控制 信 
8, 该 术语 通常 用 于 网 络 层 的 协议 数据 单元 。 


分 组 交换 ， 一 种 消息 传输 和 穿越 通信 网 络 的 方法 ， 在 这 种 方法 中 所 有 过 长 的 消息 都 会 
被 划分 为 多 个 较 短 1 每 个 分 组 在 从 源 到 目的 时 会 经 过 一 些 中 间 结 点 ， 在 每 个 结 点 
上 ， 整 个 分 组 会 被 完整 接收 和 存储 下 来 ， 然 后 再 被 转发 给 下 一 个 结 点 。 


aries say ct ba 而 且 会 以 相同 的 方式 得 
si i N 


但 是 ， 分 布 式 、 自 治 的 方法 只 能 在 网 络 相对 较为 稳定 ， 同时 端 系统 位 置 相对 固定 的 时 候 
发 挥 作用 。 根 据 这 些 特征 ， 开 放 网 络 基 金 会 (Open Networking Foundation, ONF) 指出 了 传 
[79] 统 网 络 体系 结构 存在 四 个 方面 的 局 限 [ONF12]。 

e 静态 的 、 复 杂 的 体系 结构 : 为 了 满足 区 分 QoS 等 级 、 较 高 且 波 动 性 强 的 流量 数量 和 
安全 性 方面 的 需求 ， 网 络 技术 变 得 越 来 越 复杂 和 难以 管理 ， 这 就 导致 了 许多 相互 独 

立 协议 的 出 现 ， 而 每 种 协议 只 能 满足 部 分 网 络 需 求 。 一 个 复杂 性 方面 的 例子 就 是 设 

备 的 添加 和 移 除 ， 网 络 管理 员 必 须 使 用 设备 级 的 管理 工具 来 对 交换 机 、 路 由 器 、 防 

火 墙 、Web 认证 人口 等 配置 参数 进行 修改 和 更 新 ， 这 些 更 新 包括 对 大 量 设备 上 的 访 
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问 控制 列表 (ACL)、 虚 拟 局 域 网 设置 和 QoS 设置 进行 修改 ， 此 外 还 有 其 他 相关 协议 的 
调整 。 另 一 个 例子 是 对 QoS 参数 进行 调整 ， 以 适应 用 户 需求 和 流量 模式 的 变化 ， 这 时 
需要 进行 大 量 的 手工 操作 来 对 每 台 厂 商 设 备 针对 单个 应 用 甚至 单个 会 话 进行 配置 。 

e 不 一 致 策略 : 为 了 实现 全 网 级 的 安全 性 策略 ， 网 络 管理 员 不 得 不 对 上 千 台 设备 及 机 
制 进行 配置 修改 ， 在 大 型 网 络 中 ， 当 新 的 虚拟 机 被 激活 ， 常 常 需要 花费 数 小 时 甚至 
数 天 时 间 来 对 整个 网 络 的 ACL 进行 重新 配置 。 

。 扩展 性 不 足 : 对 网 络 容量 和 多 样 性 方面 的 需求 一 直 在 快速 增加 ， 但 是 由 于 网 络 的 复 
杂 性 和 静态 性 特征 ， 增 加 更 多 涉及 多 个 厂商 的 交换 机 和 传输 带宽 是 非常 困难 的 。 一 
种 在 用 的 策略 是 根据 预测 的 流量 模式 进行 超额 定购 ， 但 是 随 着 虚拟 化 使 用 的 不 断 增 
加 和 多 媒体 应 用 的 日 益 多 样 化 ， 流 量 模式 变 得 越 来 越 难以 预测 。 

o 厂商 依赖 性 : 在 当前 流量 对 网 络 需 求 的 情况 下 ， 企 业 和 运营 商 需要 部 署 新 的 设施 和 
服务 来 快速 应 对 业务 需求 和 用 户 需求 的 变化 ， 但 是 网 络 功 能 缺少 开放 接口 使 得 企业 
受 限 于 相对 较 慢 的 厂商 设备 产品 周期 。 


3.2 SDN 方法 
本 节 主 要 介绍 SDN 的 总 体 概念 以 及 它 是 如 何 设计 以 满足 不 断 演化 的 网 络 需求 的 。 


3.2.1 需求 


根据 3.1 节 的 叙述 ， 我 们 现在 详细 介绍 现代 网 络 方法 中 的 主要 需求 ， 开 放 数 据 中 心 联盟 
( Open Data Center Alliance, ODCA) 在 [ODCA14] 中 列 出 了 有 用 的 、 简 明 的 需求 清单 ， 具 体 
如 下 。 
o 适 配 性 : 网 络 必须 能 根据 应 用 需求 、 业 务 策略 和 网 络 条 件 进行 动态 调整 和 变化 。 
e 自动 化 : 策略 的 变化 必须 能 自动 地 扩散 ， 以 减少 手工 操作 和 失误 。 
o 可 维护 性 : 新 特性 和 功能 (软件 升级 、 补 丁 ) 的 引入 应 当 能 无 颖 实现， 从 而 使 操作 中 
断 最 少 化 。 
e 模型 管理 : 网 络 管理 软件 应 当 人 允许 在 模型 层级 进行 网 络 管理 ， 而 不 是 通过 对 单个 网 
络 单元 进行 重 配置 来 实现 设计 上 的 变化 。 
e 移动 性 : 控制 功能 必须 能 顺应 移动 性 要 求 ， 包 括 移动 用 户 设 备 和 虚拟 服务 器 。 
e 集成 安全 性 : 网 络 应 用 应 当 将 安全 性 以 核心 服务 的 形式 无 颖 集成 进来 ， 而 不 是 作为 
附加 功能 。 
REAM: 具体 的 实现 应 当 具 备 扩展 或 缩小 网 络 和 服务 规模 的 能 力 ， 从 而 支持 按 需 
请 求 。 


3.2.2 SDN 体系 结构 


与 SDN 引发 的 演化 相 类 似 的 是 计算 模式 从 封闭 的 、 垂 直 集 成 的 、 专 用 的 系统 进化 成 开 
放 的 计算 模式 (如 图 3-1 所 示 )。 在 早期 的 计算 模式 中 ，IBM 和 DEC 等 厂商 提供 了 完全 集成 
好 的 产品 ， 这 些 产品 有 专用 的 处 理 器 硬件 、 特 有 的 汇编 语言 、 特 有 的 操作 系统 和 绝 大 部 分 应 
用 软件 。 在 这 种 环境 中 ， 很 多 客户 ， 特 别 是 大 型 客户 ,会 被 捆绑 在 一 个 厂商 上 ， 他 们 所 用 的 
应 用 程序 也 基本 都 由 该 厂商 提供 ， 如 果 换 到 另 一 个 厂商 的 硬件 平台 上 会 导致 应 用 出 现 很 大 的 
动荡 。 
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eI) tee 


mee THEE Eee 开放 接口 
Eee 。 开放 接口 ee G mw 
处 理 器 交换 硬件 
a) 现代 计算 方法 b) 现代 联网 方法 


图 3-1 现代 计算 和 联网 方法 


在 ,计算 环境 已 经 变 得 非常 开放 和 灵活 ， 绝 大 部 分 单机 系统 的 计算 硬件 由 x86 及 与 
x86 兼容 的 处 理 器 组 成 ， 而 嵌入 式 系统 的 硬件 则 由 ARM 处 理 器 组 成 ， 这 就 使 得 用 C、C++、 
Java 等 语言 开发 的 操作 系统 非常 容易 移植 ， 即 使 是 诸如 IBM 的 zEnterprise 大 型 机 等 私有 硬 
件 体 系 结构 ， 也 可 以 提供 标准 化 的 编译 器 和 编程 环境 ， 还 能 轻松 地 运行 Linux 等 开源 操作 系 
统 。 因 此 ， 为 Linux 或 其 他 开源 操作 系统 开发 的 应 用 程序 可 以 方便 地 从 一 个 厂商 的 平台 迁移 
到 另 一 个 平台 ， 甚 至 Windows 和 Mac OS 等 操作 系统 还 提供 了 编程 环境 使 得 这 种 应 用 程序 
移植 变 得 更 为 简单 。 此 外 ， 它 还 推动 了 虚拟 机 的 发 展 ， 虚 拟 机 可 以 从 一 个 服务 器 迁移 到 其 他 
服务 器 上 ， 即 使 这 些 服务 器 的 硬件 平台 和 操作 系统 不 一 样 。 

现在 的 网 络 环境 面临 着 与 开放 计算 模式 之 前 的 时 代 相 同 的 局 限 ， 这 里 的 问题 不 是 开发 能 
在 多 个 平台 上 和 运行 的 应 用 程序 ， 而 是 应 用 程序 和 网 络 基础 设施 之 间 缺 少 融合 。 在 前 面 提 到 
过 ， 传 统 网 络 体系 结构 不 再 适应 于 当前 网 络 流量 容量 和 多 样 性 不 断 增加 的 需求 。 

SDN 背后 的 核心 概念 是 让 开发 者 和 网 络 管理 员 可 以 对 网 络 设备 有 相同 的 控制 方式 ， 这 
里 的 网 络 设备 遍布 于 x86 服务 器 上 。 在 第 2 章 的 2.6 节 中 讲 过 ，SDN 将 交换 功能 划分 为 数据 
平面 和 控制 平面 ， 每 个 平面 运行 在 不 同 的 设备 上 (如 图 3-2 所 示 )， 其 中 数据 平面 只 负责 
发 分 组 ， 而 控制 平面 可 以 “智能 ”地 设计 路 由 、 设 置 优先 级 和 路 由 策略 参数 来 满足 QoS 和 
QoE 需求 ， 以 应 对 正在 变化 的 流量 模式 。 定 义 开放 接口 使 得 交换 硬件 可 以 采用 统一 的 接口 ， 
不 需要 考虑 内 部 的 实现 细节 。 类 似 地 ， 定 义 的 开放 接口 还 使 得 网 络 应 用 可 以 与 SDN 控制 器 
进行 通信 。 

图 3-3 详细 说 明了 图 2-15 中 描述 的 结构 ， 图 2-15 则 展示 了 更 多 SDN 技术 细节 。 数 据 平 
面 由 物理 交换 机 和 虚拟 交换 机 组 成 ， 在 这 两 种 情况 下 ， 交 换 机 都 负责 转发 分 组 。 缓 存 、 优 先 
级 参数 以 及 其 他 与 转发 相关 的 数据 结构 的 内 部 实现 都 取决 于 厂商 ， 但 是 每 个 交换 机 都 必须 完 
成 与 SDN 控制 器 统一 和 开放 的 分 组 转发 模型 或 者 抽象 ， 该 模型 被 定义 为 控制 平面 和 数据 平 
面 之 间 开 放 的 应 用 程序 编程 接口 (application programming interface, API), EARTE] (south 
bound) 接口 。 最 有 名 的 南 向 接口 的 例子 是 OpenFlow， 我们 将 在 第 4 章 中 介绍 。 在 第 4 章 
还 会 提 到 ，OpenFlow 规范 定义 了 控制 平面 和 数据 平面 之 间 的 协议 ， 以 及 控制 平面 调用 
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OpenFlow 协议 的 API. 


EE 





交换 机 ES a : os 
l- eer pR —— EB) 





El 可 编程 交换 机 
分 组 流 
-分 组 转发 规则 


a) 传统 网 络 体系 结构 b) SDN 技 术 
图 3-2 ”控制 平面 和 数据 平面 (参见 图 2-15 ) 


北向 接口 (例如 REST API) 









“应 用 程序 编程 接口 API) ”一 种 用 二 应 洒 程 序 与 操作 系统 、 数 据 库 管理 系统 等 控制 程 
Hee Ba A 通过 程序 中 | xenical 并 提 - 
BT Ste, I 保证 应 用 程序 代码 的 可 移植 性 以 及 被 
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SDN 控制 器 (参见 第 5 章 ) 可 以 直接 在 服务 器 或 虚拟 服务 器 上 实现 ，OpenFlow 或 其 他 
开放 API 用 于 对 数据 平面 的 交换 机 进行 控制 ， 此 外 ， 控 制 器 还 会 用 到 从 数据 流 经 过 的 网 络 
设备 处 获取 的 容量 和 需求 信息 。SDN 控制 器 还 开放 了 北向 API， 这 就 使 得 开发 者 和 网 络 管 
理 员 可 以 部 署 大 量 现 有 的 和 定制 的 网 络 应 用 ， 这 些 应 用 中 的 很 多 在 SDN 出 现 之 前 都 不 可 用 。 
现在 还 没有 标准 的 北向 API， 也 没有 在 开放 的 北向 API 问题 上 达成 一 致意 见 ， 很 多 厂商 采用 
83 | 基于 表述 性 状态 转移 (Representational State Transfer, REST) 的 API 来 提供 SDN 控制 器 的 
84) 可 编程 接口 。 
位 于 相同 处 境 的 还 有 横向 ( 东 向 /西向 ) API 接口 ， 这 类 接口 的 目的 是 让 控制 器 组 或 联 
盟 之 间 可 以 通信 和 协作 ， 从 而 同步 状态 以 达到 更 高 的 实用 性 。 
应 用 平面 有 许多 与 SDN 控制 器 相交 互 的 应 用 。SDN 应 用 是 可 以 利用 网 络 抽象 视图 进行 
决策 的 程序 ， 这 些 应 用 会 通过 北向 API 接口 将 它们 的 网 络 需求 和 所 期 望 的 网 络 行为 传递 给 
SDN 控制 器 ， 具 体 的 应 用 案例 包括 节能 网 络 、 安 全 监视 、 访 问 控制 和 网 络 管理 。 


3.2.3 软件 定义 网 络 的 特征 


AMAZ, SDN 的 主要 特征 包括 以 下 几 个 方面 : 

e 控制 平面 与 数据 平面 相互 分 离 ， 数 据 平面 设备 成 为 只 进行 分 组 转发 的 设备 (参见 
图 3-2 )。 

o 控制 平面 在 集中 式 的 控制 器 或 一 组 协作 的 控制 器 上 实现 ，SDN 控制 器 拥有 网 络 或 它 
所 控制 网 络 的 全 局 视图 。 控 制 器 是 可 移植 的 软件 ， 可 运行 在 商用 服务 器 上 ， 也 可 以 
根据 网 络 的 全 局 视图 对 转发 设备 进行 编程 。 

e 控制 平面 设备 (控制 器 ) 和 数据 平面 设备 之 间 的 开放 接口 已 经 得 到 了 定义 。 

o 网 络 可 由 运行 在 SDN 控制 器 之 上 的 应 用 进行 编程 ，SDN 控制 器 向 应 用 提供 了 网 络 资 
源 的 抽象 视图 。 


3.3 SDN 和 NFV 相关 标准 


与 Wi-Fi 等 技术 领域 所 不 同 的 是 ， 目 前 还 没有 一 个 标准 机 构 来 负责 SDN Fl NFV 开放 
标准 (standard) 的 设计 ， 相 反 ， 有 许多 标准 制定 机 构 ( standards-developing organization, 
SDO)、 产 业 工 会 和 开放 发 展 组 织 投入 到 SDN A NFV 标准 及 准则 的 创立 中 。 表 3-1 列举 了 
主要 的 SDO 和 其 他 参与 的 机 构 ， 以 及 当前 主要 取得 的 成 果 ， 本 节 将 会 对 一 些 最 主要 的 机 构 

和 成 果 进 行 介绍 。 





表 3-1 从 事 SDN 和 NFV 开放 标准 方面 工作 的 机 构 


组 织 机 构 与 SDN 和 NFV 相关 的 成 果 


致力 于 通过 开发 开放 标准 来 推动 
开放 网 络 基 金 会 (ONF ) SDN 实用 化 的 产业 协会 OpenFlow 

因特网 技术 标准 机 构 ， 制 定 了 RFC | 与 路 由 系统 的 接口 (I2RS) 
因特网 工程 任务 组 (IETF) 和 因特网 标准 服务 功能 链 
ee 由 欧盟 资助 的 标准 机 构 ， 制 定 信息 
欧洲 电信 标准 研究 院 (ETSI) 与 通信 技术 方面 的 全 球 标准 NFV 体系 结构 


OpenDaylight 由 Linux 基金 会 赞助 的 合作 项 目 OpenDaylight 
示 


国际 电信 联盟 


EOR | A 2] ar 
Mape 电信 标准 部 门 ees 负责 制定 电信 标准 化 | DN ae atk bet 
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( 续 ) 
组 织 机 构 与 SDN 和 NFV 相关 的 成 果 
| 因特网 研究 任务 组 (IRTF) 软件 定 | ”IRTF 内 部 的 研究 组 ， 制 定 与 SDN SDN 体系 结构 
义 网 络 研究 组 (SDNRG) 相关 的 RFC 
宽带 论坛 (BBF) 制定 宽带 分 组 网 络 规范 的 产业 协会 | ”电信 宽带 网 中 SDN 的 需求 与 框架 
IEEE 802 负责 制定 局 域 网 标准 的 IEEE 委员 会 | ARNE SDN 功能 的 标准 化 


OS IT AAA Hil ZH A ERA 
开放 数据 中 心 联 盟 (ODCA) 案 和 服务 的 协会 SDN 用 例 模型 


电信 产业 方案 联盟 (ATIS) 制定 统一 通信 产业 标准 的 组 织 机 构 | on TY RRR 


NFV 开放 平台 (OPNFV) 专注 加 快 NEV 发 展 的 开源 项 目 NFV 基础 设施 


标准 “提供 了 要 求 、 规 范 、 准 则 或 特性 的 文档 ， 可 用 于 保证 材料 、 产 品 、 过 程 和 服务 
与 它们 的 目的 是 相 匹 配 的 。 标 准 是 在 所 有 参与 到 标准 制定 机 构 一 致 同意 的 基础 上 完成 的 ， 


4 业 协 会 
城 域 以 太 网 论坛 (MEF) ee wee E = SDN 和 NEFV 之 上 定义 服务 编排 
~、 示 a 
À ER 推动 光 网 络 产品 协作 式 网 络 方案 和 A nin 
光 互 联网 论坛 (OIF) 服务 制定 与 部 署 的 产业 协会 SDN 体系 结构 中 传输 网 络 的 需求 
组 织 大 十 
= 


另外 还 要 得 到 权威 机 构 的 批准 通过 。 


i 


= hey hel 


开放 标准 在 对 所 有 感 兴趣 团体 开放 决策 过 程 的 基础 上 设计 的 标准 。 实 现 开放 标准 可 
以 不 需要 缴纳 版 权 费 用 ， 它 的 目的 是 推动 多 个 厂商 之 间 的 产品 能 协同 工作 。 


3.3.1 标准 制定 机 构 

因特网 协会 、ITU-T 和 ETSI 都 在 SDN Al NFV 标准 化 方面 做 出 了 重要 贡献 。 

因特网 协会 

许多 标准 制定 机 构 专 注 于 SDN 的 不 同方 面 ， 其 中 最 为 活跃 的 两 个 组 织 是 因特网 协会 
(ISOC) 的 下 设 部 门 : IETF 和 IRTF。ISOC 是 因特网 设计 、 工 程 和 管理 的 协调 委员 会 ， 它 的 
领域 包括 因特网 自身 的 运 维和 端 系统 所 使 用 协议 的 标准 化 ，ISOC 下 设 的 不 同 机 构 负责 标准 
制定 与 发 布 的 具体 工作 。 


标准 制定 机 构 (SDO) 国家 、 地 区 或 国际 性 的 官方 标准 机 构 ， 负 责 制定 标准 和 协调 
特定 国际 、 地 区 或 全 球 的 标准 化 事务 。 一 些 SDO 通过 支持 技术 委员 会 等 机 构 而 推动 了 标 
准 的 制定 ， 还 有 一 些 SDO 直接 参与 标准 的 制定 工作 © | 


IETF 工作 组 在 下 列 领域 对 SDN 相关 规范 进行 制定 。 
e 与 路 由 系统 的 接口 : 开发 与 路 由 器 和 路 由 协议 相交 互 的 功能 ， 从 而 执行 路 由 策略 。 
e 服务 功能 链 : 为 控制 器 设计 体系 结构 和 功能 ， 引 导 流 量 以 特定 方式 穿越 网 络 ， 使 得 
每 个 虚拟 服务 平台 只 能 看 到 它 需 要 处 理 的 流量 。 
IRTF 发 布 了 “软件 定义 网 络 : 层次 和 体系 结构 术语 ”( RFC 7426，2015 年 1 月 )， 该 文 
档 提供 了 当前 SDN 层次 架构 相关 方法 的 简要 介绍 ， 请 求 评述 (Request For Comments, RFC) 
也 对 南 向 API (如 图 3-3 Pras) 进行 了 探讨 ， 并 介绍 了 一 些 特定 的 API, 例如 I2RS。 
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请 求 评述 (RFC) 成 系列 的 文档 ， 是 包括 IETF 和 TIRTF 在 内 的 因特网 协会 发 布 标准 
的 官方 渠道 。RFC 文档 可 以 是 报告 的 、 最 实用 的 草案 或 者 官方 的 因特网 标准 : 


IRTF 还 资助 着 软件 定义 网 络 研究 组 (SDNRG )， 该 研究 组 从 不 同 角 度 对 SDN 进行 研究 ， 
从 而 找到 可 以 定义 、 部 署 和 使 用 的 方法 ， 并 判断 未 来 的 研究 挑战 。 

ITU-T 

国际 电信 联盟 一 一 电信 标准 化 部 门 (ITU-T) 是 一 个 联合 国 机构 ， 负 责 发 布 电信 和 领域 标 
准 (也 称 为 建议 )。 截 至 目前 ， 他 们 在 SDN 方面 发 布 的 只 有 Y.3300 标准 (软件 定义 网 络 框 
架 ，2014 年 6 月 )， 该 标准 解决 了 SDN 的 定义 、 目 标 、 高 层 功能 、 需 求 和 高 层 体 系 结构 等 
问题 ， 它 还 为 标准 制定 提供 了 有 价值 的 框架 。 

ITU-T 成 立 了 软件 定义 网 络 联合 协作 机 构 ( JCA-SDN), 该 机 构 开 始 对 SDN 相关 标准 进 
行 制 定 。 

有 4 个 ITU-T 研究 组 (SG) 投入 SDN 相关 标准 的 事务 中 。 
SG 13 (未 来 网 络 ， 包 括 云 计算 、 移 动 和 下 一 代 网 络 ) ITU-T 在 SDN 方面 的 主要 研 
RHH, WT Y.3300 标准 ， 该 研究 组 正在 就 下 一 代 网 络 (NGN) 中 的 SDN 和 虚拟 化 
方面 开展 研究 。 
SG 11 (信念 需求 、 协 议和 测试 的 规范 ) : 该 研究 组 正在 研究 SDN 信 令 框架 以 及 如 何 
将 SDN 技术 应 用 到 IPv6 当中 。 
SG 15 (传输 、 接 入 和 家 庭 ) : 该 研究 组 关注 光 传 输 网 络 、 接 人 网 络 和 家 庭 网 络 ， 目 
前 正在 遵循 开放 网 络 基金 会 的 SDN 体系 结构 从 事 SDN 传输 方面 的 研究 。 
SG 16 (多 媒体 ) : 该 研究 组 负责 采用 OpenFlow 协议 控制 多 媒体 分 组 流 的 评估 工作 ， 
目前 正在 研究 虚拟 内 容 分 发 网 络 。 

欧洲 电信 标准 研究 院 

ETSI 是 欧盟 的 欧洲 标准 机 构 ， 但 是 该 非 鳃 利 SDO 的 成 员 遍 布 全 球 ， 它 制定 的 标准 也 在 
国际 范围 内 有 影响 。 

ETSI 是 制定 NFV 标准 的 领导 者 ，ETSI 的 网 络 功能 虚拟 化 (NFV) 产业 规范 组 (ISG) 
在 2013 年 1 月 就 开始 工作 ， 并且 在 2015 年 1 月 首次 推出 了 一 系列 规范 ， 这 11 个 规范 包括 
NFV 体系 结构 、 基 础 设施 、 服 务 质量 指标 、 管 理 与 编排 、 弹 性 需求 和 安全 性 指导 。 


3.3.2 ”产业 协会 


开放 标准 协会 在 20 世纪 80 年 代 晚 期 出 现 ， 它 的 出 现 是 由 于 一 些 跨国 公司 内 部 部 门 认为 
SDO 在 信息 快速 发 展 时 期 制定 标准 方面 的 工作 进展 太 慢 。 最 近 ， 许 多 协会 已 经 加 入 SDN 和 
NFV 标准 的 制定 中 ， 我 们 这 里 主要 介绍 其 中 3 个 最 主要 的 成 果 (参见 第 4 章 )。 

当前 从 事 SDN 标准 化 工作 最 重要 的 协会 (consortium) 是 开放 网 络 基金 会 (ONF), ONF 
致力 于 通过 开放 标准 的 制定 来 推动 SDN 的 实用 化 ， 它 最 主要 的 贡献 是 OpenFlow 协议 和 
API。OpenFlow 协议 是 第 一 个 专 为 SDN 设计 的 标准 接口 ， 并 且 已 经 在 很 多 网 络 和 网 络 产品 
上 以 软件 和 硬件 的 形式 进行 了 部 署 。 该 标准 通过 将 逻辑 上 的 集中 控制 软件 赋予 网 络 ， 使 网 络 
具备 对 网 络 设备 行为 进行 修改 的 能 力 ， 这 些 都 是 通过 定义 良好 的 “转发 指令 集 ” 来 完成 的 。 
第 4 章 将 会 专门 介绍 该 协议 。 
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协会 ”由 于 共同 兴趣 而 加 六 的 独立 机 构 团 体 。 在 标准 制定 领域 ， 协 会 通常 由 特定 技术 
领域 的 公司 和 行业 团体 组 成 。 


开放 数据 中 心 联盟 (ODCA) 是 一 个 领导 全 球 IT 组 织 加 快 云 计 算 解 决 方案 和 服务 实用 化 的 
协会 。 通 过 为 SDN Al NFV 制定 用 例 模型 ，ODCA 为 SDN A NFV 的 云 部 署 定 义 了 相关 需求 。 

电信 行业 解决 方案 联盟 (ATIS) 是 一 个 为 产业 界 提供 必要 工具 的 组 织 ， 他 们 设计 出 标 
准 、 准 则 和 操作 过 程 ， 为 现 有 和 将 来 可 能 出 现 的 电信 产品 与 服务 提高 协同 工作 能 力 。 尽 管 
ATIS 得 到 了 ANSI 的 授权 ， 但 该 组 织 还 是 被 认为 是 协会 而 非 SDO。 截 至 当前 ，ATIS 已 经 发 
布 了 一 些 利用 SDN 和 NEV 来 提高 基础 设施 可 编程 能 力 所 面 临 问题 与 机 遇 的 相关 文档 。 


3.3.3 ”开放 发 展 组 织 


有 许多 其 他 组 织 并 不 是 由 产业 界 或 者 SDO 等 官方 机 构 创 立 ， 这 些 组 织 通常 由 用 户 创立 
和 推动 ， 而 且 有 特定 的 关注 点 ,通常 他 们 的 目标 是 制定 开放 标准 或 开源 软件 ， 其 中 有 些 团 体 
活跃 在 SDN A NFV 标准 化 领域 。 本 节 将 介绍 其 中 三 项 最 主要 的 工作 。 

OpenDaylight 

OpenDaylight 是 一 个 由 Linux 基金 会 资助 的 开源 软件 机 构 (参见 5.3 节 )， 它 的 成 员 提供 
了 相关 资源 来 为 众多 应 用 开发 SDN 控制 器 。 虽 然 其 核心 成 员 由 公司 组 成 ， 但 是 单个 开发 者 
和 用 户 也 可 以 参与 进去 ， 所 以 OpenDaylight 实际 上 远 不 止 是 一 个 协会 ，ODL 还 支持 利用 南 
向 协议 、 可 编程 网 络 服务 、 北 向 API 和 各 种 应 用 进行 网 络 编程 。 

OpenDaylight 由 30 多 个 项 目 组 成 ， 并 同步 发 布 他 们 的 成 果 ，2014 年 2 月 发 布 的 第 一 个 
版 本 是 Hydrogen，2014 年 9 月 底 又 成 功 发 布 了 第 二 个 版 本 Helium. 

NFV 开放 平台 

NFV 开放 平台 (OPNFV) 是 一 个 专注 于 加 快 标准 NFV 实用 化 的 开源 项 目 (参见 7.4 节 )， 
OPNFV 将 与 产业 界 同行 一 起 建立 一 个 运营 商 级 的 、 综 合 的 开源 参考 平台 ， 来 促进 NFV 的 
发 展 ， 并 保证 多 个 开源 项 目 组 成 部 分 之 间 的 一 致 性 、 性 能 和 协同 功能 。 由 于 已 经 有 多 个 开源 
NFV 模块 存在 , OPNFV 的 工作 将 会 集中 在 协调 集成 和 测试 以 及 填补 各 个 模块 开发 差异 等 方面 。 

OpenStack 

OpenStack 是 一 个 开源 软件 项 目 ， 它 的 目标 是 建立 一 个 开源 的 云 操作 系统 。 它 提供 了 多 
租户 的 基础 设施 即 服务 ( IaaS)， 通 过 实现 简单 和 高 可 扩展 性 来 满足 公有 云 和 私有 云 的 需求 。 
它 期 望 将 SDN 技术 引入 网 络 部 分 ， 从 而 使 得 云 操作 系统 更 为 高 效 、 灵 活 和 可 靠 。 

OpenStack 由 多 个 项 目 组 成 ， 其 中 一 个 名 为 Neutron 的 项 目 专注 于 联网 工作 ， 它 为 其 他 
OpenStack 服务 提供 了 网 络 即 服务 (Naas) 功能 。 几 乎 所 有 SDN 控制 器 都 为 Neutron 提供 插 
件 程序 ， 通 过 这 些 插件 程序 ，OpenStack 上 的 服务 以 及 其 他 OpenStack 服务 可 以 构建 丰富 多 
样 的 网 络 拓 扑 ， 也 可 以 在 云 平 台 配 置 高 级 网 络 策略 。 


3.4 重要 术语 
学 完 本 章 后 ， 你 应 当 能 够 定义 下 列 术 语 。 
应 用 程序 编程 接口 (API) 表述 性 状态 转移 (REST) 
协会 . 请 求 评 述 (RFC ) 


数据 报 服务 功能 链 
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流 南 向 API 


IEEE 802 标准 
北向 API 标准 制定 机 构 (SDO) 
开放 标准 TCP/IP 协议 体系 结构 
分 组 交换 
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| 第 4 章 


Foundations of Modern Networking: SDN, NFV, QoE, IoT, and Cloud 


SDN 数据 平面 和 OpenFlow 


“我 告诉 你 ,” 塞 米 激动 地 说 ,“ 每 次 火车 进 站 ,- 我 都 觉得 它 冲破 了 重重 包围 ， 
那个 人 使 场面 不 再 混乱 。 你 如 此 轻 芒 地 说 离开 斯 隆 广场 就 只 能 去 维多利亚 了 ， 但 是 
我 认为 ， 在 此 之 间 ， 可 以 有 上 千 种 选择 ， 当 我 真 的 到 那里 的 时 候 ， 有 一 种 死 里 逃生 
的 感觉 。 当 我 听见 列车 员 喊 出 “维多利亚 站 到 了 ”时 ， 这 个 词 满 含 深意 ， 它 就 像 传 
令 官 喊 出 胜利 的 捷报 。 对 我 来 说 ， 这 就 是 “维多利亚 ”， 它 代表 上 帝 的 胜利 。 

一 一 《星期 四 人 》，G. K. Chesterton 


本 章 目标 

学 完 本 章 后 ， 你 应 当 能 够 ; 

o 说 明 SDN 数据 平面 的 功能 概述 。 

o 理解 OpenFlow 逻辑 网 络 设备 的 相关 概念 。 

o 描述 和 解释 OpenFlow 流 表 项 结构 。 

e 总 结 OpenFlow 流水 线 工 作 原 理 。 

e 解释 组 表 的 工作 原理 。 

e 理解 OpenFlow 协议 的 基本 要 素 。 

本 章 的 4.1 节 将 从 详细 介绍 软件 定义 网 络 ( SDN) 及 其 数据 平面 (如 图 4-1 所 示 ) 开始 ， 
接 下 来 专门 介绍 当前 使 用 最 为 广泛 的 SDN 数据 平面 实现 方案 OpenFlow。OpenFlow 既是 数 
据 平面 功能 的 逻辑 结构 规范 ， 也 是 SDN 控制 器 和 网 络 设备 之 间 的 通信 协议 ，4.2 节 和 4.3 节 
将 分 别 介绍 OpenFlow 逻辑 网 络 设备 和 OpenFlow 协议 。 


4.1 SDN 数据 平面 


SDN 数据 平面 也 称 为 基础 设施 层 ， 而 在 ITU-T 的 立 3300 标准 中 则 称 为 资源 层 ， 它 是 网 
络 转发 设备 根据 SDN 控制 平面 的 决策 来 执行 数据 传输 和 处 理 所 处 的 平面 。SDN 网 络 中 网 络 
设备 的 重要 特征 是 这 些 设备 只 完成 简单 的 转发 功能 ， 不 需要 内 艇 软件 来 执行 自治 决策 。 


4.1.1 数据 平面 功能 


图 4-2 说 明了 数据 平面 网 络 设备 (也 称 为 数据 平面 网 络 单元 或 交换 机 ) 所 完成 的 功能 ， 
网 络 设备 的 主要 功能 包括 : 
e 控制 支撑 功能 : 与 SDN 控制 层 进行 交互 ， 从 而 通过 资源 一 控制 接口 支持 可 编程 特性 ， 交 
换 机 与 控制 器 之 间 的 通信 以 及 控制 器 对 交换 机 的 管理 都 是 通过 OpenFlow 协议 进行 的 。 
e 数据 转发 功能 : 从 其 他 网 络 设备 和 端 系统 接收 到 达 的 数据 流 ， 并 将 它们 沿 着 计算 和 
建立 好 的 数据 转发 路 径 转 发 出 去 ， 转 发 路 径 主要 根据 SDN 应 用 定义 的 规则 决定 。 


[92 ] 
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Al 4-1 SDN 体系 结构 








控制 流 (例如 OpenFlow 
协议 数据 单元 : OpenFlow/ 
TLS/TCP/IP ) 


数据 分 组 流 : TCP/IP 
或 UDP/IP 或 其 他 IP 


数据 分 组 流 : TCP/IP 
或 UDP/IP 或 其 他 IP 


图 4-2 数据 平面 网 络 设备 


网 络 设备 使 用 的 转发 规则 体现 在 转发 表 中 ， 转 发 表 反 映 了 特定 类 别 分 组 的 下 一 跳 路 由 。 
除了 简单 地 转发 分 组 以 外 ， 网 络 设备 还 可 以 对 分 组 的 首部 进行 修改 ,或 者 丢弃 该 分 组 。 如 
图 4-2 所 示 ， 到 达 的 分 组 被 放置 在 输入 队列 中 ， 等 待 网 络 设备 的 处 理 ， 而 分 组 在 完成 转发 之 


# 4% SDN HF HF OpenFlow 63 


后 通常 会 放置 于 输出 队列 ， 等 待 传输 。 

4-2 中 的 网 络 设备 有 3 个 输入 /输出 端口 : 一 个 提供 了 与 SDN 控制 器 之 间 的 控制 通 
和信， 另外 两 个 分 别 是 分 组 的 输入 和 输出 。 图 中 只 是 一 个 简单 的 例子 ， 网 络 设备 可 以 有 多 个 端 
口 与 多 个 SDN 控制 器 通信 ， 也 可 以 有 不 止 两 个 输入 /输出 端口 来 处 理 分 组 的 到 达 和 离开 。 


4.1.2 数据 平面 协议 


图 4-2 给 出 了 网 络 设备 所 支持 的 协议 ,数据 流 包 括 IP 分 组 流 。 转 发 表 必须 根据 上 层 协 
i (例如 TCP、UDP 或 其 他 运输 层 、 应 用 层 协议 ) 来 定义 表 项 ， 网 络 设备 进行 转发 决策 时 通 
过 检查 IP 首部 ， 也 可 能 包括 分 组 的 其 他 首部 信息 来 完成 。 

图 中 另 一 个 重要 的 数据 流 是 南 向 应 用 程序 编程 接口 ( API1)， 包 括 OpenFlow 协议 数据 单 
元 (PDU) 或 其 他 类 似 的 南 向 API 协议 数据 流 。 


4.2 OpenFlow 逻辑 网 络 设备 


为 了 将 SDN 概念 实用 化 ， 需 要 满足 以 下 两 个 必要 条 件 : 
© 所 有 由 SDN 控制 器 管理 的 交换 机 、 路 由 器 和 其 他 网 络 设备 必须 有 通用 的 逻辑 架构 ， 
该 逻辑 架构 可 以 在 不 同 厂 商 的 设备 以 及 不 同类 型 的 网 络 设备 上 用 不 同 的 方法 实现 ， 
只 要 SDN 控制 器 看 起 来 是 统一 的 逻辑 交换 功能 实体 即 可 。 
© SDN 控制 器 和 网 络 设备 之 间 需 要 标准 的 安全 协议 。 
这 些 必 要 条 件 都 已 经 由 OpenFlow 完成 了 。OpenFlow 既是 SDN 控制 器 和 网 络 设备 之 间 
的 协议 ， 也 是 网 络 交换 功能 的 逻辑 结构 规范 ，OpenFlow 在 开放 网 络 基金 会 CONF) 发 布 的 
《 OpenFlow 交换 机 规范 》 中 进行 了 定义 。 
本 节 内 容 包 括 OpenFlow 定义 的 
逻辑 交换 机 体系 结构 ， 我 们 的 讨论 
主要 以 本 文 撰写 时 (2015 年 3 月 26 
日 ) OpenFlow 规范 的 1.5.1 版 本 为 
依据 。 
图 4-3 表明 了 OpenFlow 环境 中 ma) OpenFlow 
主要 的 要 素 ， 包 括 含 有 OpenFlow K EEB: ae ed nei 交换 机 






运行 着 OpenFlow 的 
”SDN 控 制 器 


件 的 SDN 控制 器 、OpenFlow 交换 ; ie = g 
机 和 端 系统 。 it |: 
图 4-4 显示 了 OpenFlow 交换 机 __¥ Ue ; 
的 主要 构成 。SDN 控制 器 使 用 运行 BF Coa a; 
在 运输 层 安 全 协议 (TLS) 之 上 的 
OpenFlow 协议 与 兼容 OpenFlow 的 i gla cian 
交换 机 通信 ， 每 个 交换 机 与 其 他 和 
OpenFlow 交换 机 相连 ， 此 外 也 可 能 4-3 OpenFlow 交换 机 工作 环境 


会 与 产生 和 接收 分 组 流 的 端 用 户 设备 相连 。 在 交换 机 端 ， 其 接口 称 为 OpenFlow 信道 
( OpenFlow channel)， 这 些 连接 是 通过 OpenFlow 端口 实现 的 ， 而 OpenFlow 端口 ( Open- 
Flow port) 则 连接 着 交换 机 和 SDN 控制 器 。OpenFlow 定义 了 3 种 类 型 的 端口 。 

e 物理 端口 : 与 交换 机 的 硬件 接口 相对 应 ， 例 如 在 以 太 网 交换 机 上 ， 物 理 端 口 与 以 太 
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网 接口 一 一 对 应 。 
e 逻辑 端口 : 不 直接 与 交换 机 的 硬件 接口 相对 应 ， 逻 辑 端口 是 更 高 层 的 抽象 ， 可 以 采 
FASE OpenFlow 方法 在 交换 机 上 进行 定义 (例如 链 路 聚合 组 、 隧 道 、 环 回 地 址 )。 逻 


辑 端口 可 以 包括 分 组 封装 ， 也 可 以 映射 到 不 同 物理 端口 上 ， 在 逻辑 端口 进行 的 处 理 
与 具体 的 实现 相关 ， 而 且 对 OpenFlow 处 理 必须 是 透明 的 ， 这 些 端口 必须 像 物理 端口 
那样 与 OpenFlow 处 理 进 行 交 互 。 

。 保 留 端 口 ， 由 OpenFlow 规范 定义 ， 它 指定 了 通用 的 转发 行为 ， 例 如 发 送 给 控制 器 和 


从 控制 器 接收 、 洪 泛 ， 或 使 用 非 OpenFlow 方法 转发 (例如 像 “ 正 常 ”的 交换 机 一 样 
处 理 )。 








在 每 个 交换 机 内 部 有 许多 表 ， 这 些 表 用 于 对 经 过 交换 机 的 分 组 流 进行 管理 。 


OpenFlow 规范 定义 了 逻辑 交换 机 体系 结构 中 3 种 类 型 的 表 结 构 ， 流 表 (flow table) 将 
到 达 的 分 组 映射 到 一 条 特定 的 流 ， 并 指定 这 些 分 组 应 当 执 行 什么 操作 ， 此 外 还 有 多 个 流 表 以 
流水 线 的 方式 进行 工作 ， 这 种 方式 将 会 在 后 文 详细 介绍 。 流 表 可 以 直接 将 一 条 流 引 导 到 某 个 
HR (group table)， 它 会 触发 各 种 动作 并 影响 一 条 或 多 条 流 。 计 量 表 (meter table) 会 触发 
各 种 与 性 能 相关 的 动作 (参见 第 10 章 )， 并 作用 在 流 上 ， 计 量 表 的 内 容 将 会 在 第 10 章 介绍 。 
通过 使 用 OpenFlow 交换 机 协议 ， 控 制 器 可 以 被 动 (对 分 组 进行 响应 ) 或 主动 地 增加 、 更 新 
和 删除 流 表 项 。 
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在 开始 下 文 之 前 ， 首 先 介 绍 流 的 定义 将 会 有 助 于 加 深 理解 。 令 人 奇怪 的 是 ， 流 这 个 术语 
并 没有 在 OpenFlow 规范 中 进行 定义 ， 也 几乎 没有 在 任何 OpenFlow 相关 资料 上 有 所 定义 。 
在 通常 的 术语 中 ， 流 是 一 组 穿越 网 络 的 分 组 集 ， 这 些 分 组 有 相同 的 首部 内 容 ， 例 如 一 条 流 可 
以 由 所 有 有 相同 源 和 目的 I 地 址 的 分 组 组 成 ， 也 可 以 是 所 有 有 相同 虚拟 局 域 网 (VLAN) 标 
识 符 的 分 组 构成 。 本 节 后 续 内 容 将 会 给 出 对 其 更 为 明确 的 定义 。 


4.2.1 流 表 结 构 

逻辑 交换 机 体系 结构 的 基本 组 成 块 是 流 表 ， 每 个 进入 交换 机 的 分 组 都 会 经 过 一 个 或 多 
个 流 表 ， 而 每 个 流 表 都 包含 若干 行 ， 也 称 为 表 项 (entry)， 它 由 7 个 部 分 组 成 (如 图 4-5a 所 
示 )， 每 个 部 分 的 定义 如 下 文 所 述 。 


_ eura | nra | isa || umm 
Ril lal a) 流 表 项 字段 








c) 组 表 项 字段 
图 4-5 OpenFlow 表 项 格式 
匹配 字段 : 用 于 匹配 字段 值 ， 以 选择 分 组 。 
e 优先 级 : 表 项 的 相对 优先 级 ， 它 的 长 度 为 16 个 比特 ，0 表示 最 低 优 先 级 ， 理 论 上 总 
共有 2"=64k 个 优先 级 。 
计数 器 : 对 匹配 的 分 组 进行 更 新 和 记录 ，OpenFlow 规范 定义 了 多 种 计数 器 ， 表 4-1 
列 出 的 计数 器 是 OpenFlow 交换 机 必须 支持 的 计数 器 。 
指令 : 如 果 分 组 匹配 成 功 则 需要 执行 的 指令 。 
超时 时 间 : 交换 机 中 一 条 流 到 期 之 前 的 最 大 空 亲 时间。 每 个 流 表 项 都 与 一 个 空闲 超 
时 时 间 (idle_timeout) 和 一 个 硬 超时 时 间 (hard timeout) 相关 联 ， 硬 超时 时 间 的 值 | 97 
非 零 时 会 使 得 相应 的 流 表 项 在 给 定时 间 到 达 后 被 移 除 出 流 表 ， 无 论 该 流 表 项 匹配 了 |98 
多 少 分 组 ， 而 空闲 超时 时 间 的 值 非 零 时 ， 在 给 定时 间 内 没有 任何 分 组 匹配 成 功 ， 该 
流 表 项 就 会 被 移 除 出 流 表 。 
Cookie : 控制 器 挑选 的 64 个 比特 长 度 的 数据 值 ， 可 用 于 控制 器 对 流 统计 、 流 修改 和 
流 删 除 进行 过 滤 ， 在 对 分 组 进行 处 理 时 不 会 用 到 它 。 
标识 : 标识 用 于 改变 流 表 项 的 管理 方法 ， 例 如 标识 为 OFPFF SEND_ FLOW_REM 时 ， 
会 触发 流 移 除 该 流 表 项 的 消息 〈 也 即 交 换 机 必须 将 流 移 除 的 消息 发 送 给 控制 器 )。 
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R 4-1 必要 的 OpenFlow 计数 器 


ae EEKE 
参照 计数 器 (活跃 表 项 ) 32 
持续 时 间 (W) 32 
接收 分 组 数 64 
fe s 
持续 时 间 ( 秒 ) 每 个 端口 32 
传输 分 组 数 64 
持续 时 间 ( 秒 ) 32 
RAMM Ø) 3 
Ba E) 32 
匹配 字段 的 构成 


一 个 表 项 的 匹配 字段 由 下 列 必要 的 字段 构成 (如 图 4-5 所 示 )。 
e 输入 端口 : 分 组 到 达 的 交换 机 端口 标识 符 ， 它 可 以 是 物理 端口 或 者 交换 机 定义 的 虚 
拟 端口 ， 它 必须 在 人口 表 中 。 
o 输出 端口 : 动作 集 的 输出 端口 标识 符 ， 它 必须 在 出 口 表 中 。 
e 源 和 目的 以 太 网 地 址 : 可 以 是 精确 的 地 址 ， 也 可 以 是 带 若 干 比特 长 度 掩 码 的 IP 地址 
(只 需要 检查 若干 比特 ) 或 者 通配符 (与 所 有 值 都 相 匹 配 )。 
e 以 太 网 类 型 字段 : 表明 以 太 网 分 组 载荷 的 类 型 。 
o IP: 版 本 4 或 版 本 6。 
e IPv4 或 IPv6 源 地 址 和 目的 地 址 : 可 以 是 精确 的 地 址 、 带 子 网 掩 码 的 地 址 块 或 通 
配 符 。 
e TCP 源 和 目的 端口 号 : 精确 匹配 或 者 使 用 通配符 。 
e UDP 源 和 目的 端口 号 : 精确 匹配 或 者 使 用 通配符 。 
所 有 遵循 OpenFlow 的 交换 机 都 必须 支持 上 述 匹配 字段 ， 而 下 列 字 段 则 可 以 有 选择 性 地 
支持 。 
e 物理 端口 : 当 在 逻辑 端口 上 收 到 分 组 时 ， 用 于 表明 相应 的 底层 物理 端口 。 
e 元 数据 : 在 分 组 处 理 时 ， 由 一 个 表 传 递 给 另 一 个 表 的 附加 信息 ， 它 的 用 法 将 在 后 文 
介绍 。 
VLAN ID 和 VLAN 用 户 优先 级 : IEEE 802.1Q 标准 中 的 虚拟 以 太 网 首部 字段 ，SDN 
对 VLAN 的 支持 将 在 第 8 章 中 详细 介绍 。 
IPv4 ak IPv6 的 DS 和 ECN: 区 分 服务 和 显 式 拥塞 通告 字段 。 
SCTP 的 源 和 目的 端口 号 : 对 流传 输 控制 协议 进行 精确 匹配 或 使 用 通配符 。 
ICMP 类 型 和 代码 字段 : 精确 匹配 或 使 用 通配符 。 
ARP 的 opcode: 对 以 太 网 类 型 字段 进行 精确 匹配 。 
ARP 报 文 载荷 中 的 源 和 目标 IPv4 地 址 : 可 以 是 精确 的 地 址 、 带 有 掩 码 的 网 段 或 者 通 
配 符 。 
IPv6 流标 签 : 精确 匹配 或 使 用 通配符 。 
ICMPv6 类 型 和 代码 字段 : 精确 匹配 或 使 用 通配符 。 
IPv6 邻居 发 现 目标 地 址 : 在 IPv6 邻居 发 现 消息 中 。 
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IPv6 邻居 发 现 源 和 目标 地 址 : IPv6 邻居 发 现 消息 中 的 链 路 层 地 址 选项 。 
MPLS 标签 值 、 流 类 别 和 BoS: MPLS 标签 栈 中 最 顶层 的 标签 字段 。 
提供 商 桥接 流量 1ISID : 服务 实例 标识 符 。 
隧道 IiD: 与 逻辑 端口 关联 的 元 数据 。 

e TCP 标识 : TCP 首部 中 的 标识 位 ， 可 用 于 检查 TCP 连接 的 开始 或 结束 。 

e IPv6 扩展 : 扩展 首部 。 

所 以 ，OpenFlow 可 用 于 包含 了 各 种 协议 和 网 络 服务 的 网 络 流量 ， 注 意 在 MAC/ 链 路 层 
只 支持 以 太 网 ， 因 此 OpenFlow 当前 还 无 法 对 无 线 网 络 的 二 层 流 量 进行 控制 。 

匹配 字段 构成 中 的 每 个 字段 要 么 是 一 个 特定 的 值 ， 要么 是 通配符 ， 通配符 与 相应 分 组 首 
部 字段 的 任何 值 都 匹配 。 流 表 可 以 包含 缺 省 流 表 项 ， 该 表 项 与 所 有 匹配 字段 都 是 通 配 的 ， 而 
且 其 优先 级 最 低 。 

现在 我 们 可 以 对 流 这 一 术语 给 出 更 为 精确 的 定义 。 从 单个 交换 机 的 观点 来 看 ， 一 条 流 就 
是 与 流 表 中 某 个 特定 表 项 相 匹 配 的 分 组 序列 ， 该 定义 是 面向 分 组 的 ， 它 认为 构成 流 的 分 组 首 
部 字段 的 值 发 挥 了 作用 ， 而 不 是 它们 穿越 网 络 所 经 过 的 路 径 发 挥 了 作用 。 而 在 多 个 交换 机 上 
流 表 项 的 结合 则 将 流 的 定义 与 一 条 特定 的 路 径 绑 定 起 来 。 

指令 的 构成 

表 项 的 指令 构成 包括 一 组 指令 集 ， 该 指令 集 在 分 组 匹配 表 项 时 会 被 执行 ， 而 在 介绍 指令 
类 型 之 前 ， 我 们 首先 需要 对 动作 和 动作 集 进行 定义 。 动 作 描述 分 组 转发 、 分 组 修改 和 组 表 处 
理 操作 ，OpenFlow 规范 中 包含 下 列 动作 。 

e 输出 : 将 分 组 转发 到 特定 的 端口 。 该 端口 可 以 是 通 往 另 一 个 交换 机 的 输出 端口 ， 也 

可 以 是 通 往 控制 器 的 端口 ， 如 果 是 后 者 ， 那 么 分 组 需要 进行 封装 ， 再 发 送 给 控制 器 。 

e 设置 队列 : 为 分 组 设置 队列 ID。 当 分 组 执行 输出 动作 ， 将 分 组 转发 到 端口 上 ， 该 队 
列 ID 确定 应 当 使 用 该 端口 的 哪个 队列 来 调度 和 转发 分 组 。 具 体 的 转发 行为 由 队列 的 
配置 来 决定 ， 它 可 用 于 提供 基本 的 QoS (RIE, SDN 对 QoS 的 支持 将 会 在 第 10 章 详 
细 介 绍 。 
组 : 通过 特定 组 来 对 分 组 进行 处 理 。 
添加 标签 或 删除 标签 :为 一 个 VLAN 或 MPLS 分 组 添加 或 删除 标签 字段 。 
设置 字段 : 不 同 的 设置 字段 动作 根据 它们 的 字段 类 型 来 识别 ， 然 后 修改 各 自分 组 首 
部 字段 的 值 。 
修改 TTL : 不 同 的 修改 TTL 动作 会 对 分 组 的 IPv4 生存 时 间 (time to live, TTL), 
IPv6 跳 数 限制 或 者 MPLS 的 TTL 进行 修改 。 

e EF: 没有 显 式 的 动作 表示 丢弃 。 但 是 如 果 分 组 的 动作 集 没 有 输出 动作 ， 就 会 被 丢弃 。 

动作 集 是 与 分 组 相关 联 的 动作 列表 ， 它 是 在 分 组 由 各 个 表 处 理 时 累积 和 符 加 起 来 的 ， 在 
分 组 离开 处 理 流水 线 时 会 被 执行 。 

指令 类 型 可 以 分 为 以 下 四 类 。 

e 引导 分 组 跨越 流水 线 : Goto-Table 指令 将 分 组 引导 到 流水 线 上 更 远 处 的 一 个 表 上 去 ， 

计量 指令 则 将 分 组 引导 到 一 个 特定 的 计量 表 中 。 

e 对 分 组 执行 动作 : 当 分 组 匹配 某 个 表 项 时 ， 对 分 组 执行 动作 。Apply-Actions 指令 会 
在 不 改变 与 分 组 关联 的 动作 集 的 情况 下 立即 执行 特定 的 动作 ， 该 指令 可 用 于 对 流水 
线 上 两 个 表 之 间 的 分 组 进行 修改 。 
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e 更 新 动作 集 : Write-Actions 指令 将 特定 的 动作 合并 到 分 组 当前 的 动作 集中 ，Clear- 
Actions 指令 则 将 动作 集 的 所 有 动作 都 清除 掉 。 

o 更 新 元 数据 : 元 数据 值 可 以 与 分 组 相关 联 ， 用 于 在 表 之 间 承 载 信息 ，Write-Metadata 
指令 对 现 有 元 数据 值 进行 更 新 或 创建 一 个 新 的 值 。 


4.2.2 流 表 流 水 线 

交换 机 包含 一 个 或 多 个 流 表 ， 当 超过 一 个 流 表 时 ， 它 们 可 以 组 成 流水 线 ， 而 各 个 表 可 以 
采用 从 0 开始 的 递增 数字 进行 标识 。 在 流水 线 上 使 用 多 个 流 表 而 非 一 个 流 表 可 以 给 SDN 控 
制 器 提供 相当 大 的 灵活 性 。 

OpenFlow 规范 定义 了 处 理 的 两 个 阶段 。 

e KOSH: 入 口 处 理 肯 定 会 发 生 ， 而 且 是 从 表 0 开始 ， 使 用 了 输入 端口 的 ID。 当 和 

口 处 理 简化 为 只 在 一 个 表 上 进行 处 理 时 ， 表 0 是 唯一 的 表 ， 而 且 没 有 出 口 处 理 。 

e 出 口 处 理 : 出 口 处 理 是 发 生 在 输出 端口 确定 之 后 的 处 理 ， 它 与 输出 端口 的 具体 场景 
有 关 。 该 阶段 是 可 选 的 ， 如 果 有 出 口 处 理 ， 可 能 会 涉及 一 个 或 多 个 表 。 这 两 个 阶段 
的 分 离 是 由 第 一 个 出 口 表 的 数字 标识 符 来 表示 的 ， 所 有 比 第 一 个 出 口 表 标识 符 小 的 
表 都 必须 用 作 入 口 表 ， 而 大 于 等 于 第 一 个 出 口 表 的 表 不 能 作为 人口 表 。 

流水 线 处 理 总 是 从 第 一 个 流 表 的 入 口 处 理 开 始 ， 这 时 分 组 必须 首先 与 表 0 的 流 表 项 进行 
匹配 ， 然 后 根据 第 一 个 流 表 的 匹配 结果 来 使 用 其 他 流 表 。 如 果 入 口 处 理 结 果 是 将 分 组 转发 到 
输出 端口 ，OpenFlow 交换 机 就 开始 执行 该 输出 端口 场景 下 的 出 口 处 理 。 

当 一 个 分 组 在 某 个 表 进 行 匹配 时 ， 具 体 的 匹配 输入 包括 分 组 、 输 入 端口 ID 、 相 关 的 元 
数据 值 以 及 相关 的 动作 集 。 对 于 表 0 来 说 ,元 数据 值 和 动作 集 都 是 空 的 。 在 每 个 表 ， 具体 的 
处 理 过程 如 下 (如 图 4-6 所 示 )。 

1 ) 如 果 与 一 个 或 多 个 表 项 相 匹配 ， 而 不 是 与 缺 省 项 匹配 ， 则 匹配 结果 应 当 为 优先 级 最 
高 的 匹配 项 。 如 前 文 所 述 ， 优 先 级 也 是 表 项 的 构成 ， 它 可 以 通过 OpenFlow 来 进行 设置 ， 优 
先 级 通过 用 户 或 应 用 调用 OpenFlow 来 确定 ， 随 后 可 以 执行 下 列 步 又， 

a. 更 新 与 该 表 项 关联 的 计数 器 。 
b. 执行 与 该 表 项 相关 联 的 指令 ， 可 以 包括 更 新 动作 集 、 更 新 元 数据 值 和 执行 动作 。 
c. 分 组 随后 被 转发 给 流水 线 后 端的 流 表 、 组 表 、 计 量 表 或 直接 交 给 输出 端口 。 

2) 如 果 只 和 缺 省 表 项 匹配 ， 该 表 项 也 可 以 像 其 他 表 项 一 样 有 指令 。 在 实际 中 ， 缺 省 表 
项 可 以 指派 下 列 三 种 动作 中 的 一 个 : 

a. 将 分 组 发 送 给 控制 器 ， 这 会 使 得 控制 器 为 该 分 组 及 其 他 后 续 分 组 定义 一 条 新 的 
流 ， 或 者 决定 丢弃 该 分 组 。 

b. 将 分 组 引导 到 流水 线 后 端的 另 一 个 流 表 中 。 

c. 丢弃 该 分 组 。 

3 ) 如 果 与 所 有 表 项 都 不 匹配 且 没 有 缺 省 表 项 ， 分 组 会 被 丢弃 。 

对 于 流水 线 上 的 最 后 一 个 表 来 说 ， 不 能 再 将 分 组 转发 给 其 他 流 表 。 当 分 组 最 终 转 发 到 某 
个 输出 端口 ， 累 积 的 动作 集 将 会 被 执行 ， 然 后 分 组 排队 等 待 输出 。 图 4-7 说 明了 总 体 的 入 口 
流水 线 处 理 流 程 。 

如 果 出 口 处 理 与 特定 输出 端口 相关 联 ， 那 么 分 组 在 完成 人 口 处 理 后 会 被 引导 到 输出 端 
口 ， 之 后 转发 到 出 口 流水 线 的 第 一 个 流 表 处 。 出 口 流 水 线 处 理 流 程 与 人 口 处 理 采 用 相同 的 方 
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法 ,只 是 在 最 后 没有 组 表 处 理 过 程 ， 具 体 的 出 口 处 理 流程 如 图 4-8 所 示 。 


分 组 到 达 
* 清除 动作 集 


“初始 化 流水 线 字段 




























更 新 计数 器 : Das | 执行 动作 集 : 


执行 指令 集 : “更 新 分 组 首部 
“更 新 动作 集 “更 新 匹配 设置 字段 
* 更 新 分 组 首部 * 更 新 流水 线 字段 
* 更 新 匹配 设置 字段 

“更 新 流水 线 字 





线 字段 
“如 果 需 要 ， 将 分 组 复制 到 
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开始 出 口 处 理 : 
+ 动作 集 ={ 输 出 端口 } 
*。 从 第 一 个 出 口 表 开始 


Tie 执行 动作 集 : 
ey cae . deri “更 新 流水 线 字段 


“ 更 新 匹配 设置 字段 
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图 4-6 分 组 流通 过 OpenFlow 交换 机 时 的 工作 流程 图 
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将 分 组 发 送 给 流 表 、 组 
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分 组 + 和 人 端口 + 
元 数据 + 动作 集 





将 分 组 发 送 给 


图 4-7 分 组 流通 过 OpenFlow 交换 机 : 入 口 处 理 


分 组 设置 出 g 动 
到 达 


表 、 计 量 表 或 输出 端口 


分 组 + 人 口 端口 + 
元 数据 + 动作 集 


将 分 组 发 送 给 流 表 、 组 
表 、 计 量 表 或 输出 端口 





分 组 + 入 口 端口 + 
元 数据 + 动作 集 








将 分 组 发 送 给 
控制 器 


e 为 第 一 个 出 口 表 ID 分 组 离开 
图 4-8 ”分 组 流通 过 OpenFlow 交换 机 : 出 口 处 理 
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4.2.3 ”多 级 流 表 的 使 用 


使 用 多 级 流 表 可 以 实现 流 的 嵌 套 ,或 者 将 一 条 流 拆 分 为 多 条 并 行 的 子 流 ， 图 4-9 对 这 
一 特点 进行 了 说 明 。 在 这 个 例子 中 ， 表 0 中 的 某 个 表 项 定义 了 一 条 从 特定 源 IP 地 址 到 特定 
BAY IP 地址 的 分 组 流 ， 一旦 两 个 端点 之 间 的 最 低 成 本 路 由 建立 ， 所 有 两 个 端点 之 间 的 流量 
都 可 以 沿 着 这 条 路 由 进行 传输 ， 并 且 该 路 由 的 下 一 跳 可 以 加 入 到 交换 机 的 表 0 中 ， 而 在 表 1 
中 ， 可 以 根据 这 一 条 流 的 运输 层 协 议 (例如 TCP Al UDP) 定义 不 同 的 表 项 。 对 于 这 些 子 流 
来 说 ,需要 保留 相同 的 输出 端口 从 而 保证 所 有 的 子 流 都 能 沿 着 相同 的 路 由 行进 ,但 是 TCP 
采用 了 复杂 的 拥塞 控制 机 制 ， 而 UDP 没有 ， 这 样 就 可 以 采用 不 同 的 QoS 参数 来 对 TCP 和 
UDP 子 流 进行 处 理 。 表 1 中 的 任意 表 项 可 以 立即 将 各 自 的 子 流 路 由 到 输出 端口 ， 但 其 中 的 
部 分 或 全 部 表 项 可 以 激活 表 2， 从 而 对 子 流 做 进一步 划分 。 图 中 根据 运行 在 TCP 之 上 的 协议 
(例如 简单 邮件 传输 协议 SMTP 和 文件 传输 协议 FTP) 对 TCP 子 流 进行 划分 ， 图 中 还 标识 了 
表 1 和 表 2 中 用 于 其 他 目的 的 子 流 。 


a 


X 
时 表 1 中 的 流 ( 都 是 TCP 分 组 ) N 





图 4-9 RERIT 


在 这 个 例子 中 ,还 可 以 在 表 0 中 定义 细 粒 度 的 子 流 ， 多 级 流 表 简 化 了 SDN 控制 器 和 
OpenFlow 交换 机 的 处 理 ， 像 指定 聚合 流 的 下 一 跳 这 种 动作 可 以 只 由 控制 器 定义 一 次 ， 而 后 
由 交换 机 检查 和 执行 一 次 即 可 。 任 意 层级 新 子 流 的 增加 只 需要 很 少 的 设置 ， 因 此 ， 使 用 流水 
线 化 的 多 级 流 表 增 加 了 网 络 的 运 维 效率 ， 提 供 了 细 粒 度 的 控制 ， 还 使 得 网 络 可 以 实时 响应 应 
用 层 、 用 户 层 和 会 话 层 的 变化 。 
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在 流水 线 的 处 理 过 程 中 ， 流 表 可 以 将 分 组 流 引 导 到 某 个 组 表 而 非 其 他 流 表 ， 组 表 和 组 动 
作 使 得 OpenFlow 可 以 用 一 个 单独 的 实体 来 表示 一 组 端口 集合 ， 从 而 进行 分 组 转发 。 不 同类 
型 的 组 表示 不 同 的 转发 抽象 ， 例 如 多 播 和 广播 。 

每 个 组 表 都 由 若干 行 构成 ， 这 些 行 也 称 为 组 表 项 ， 每 个 组 表 项 由 四 个 部 分 构成 (参考 图 
4-5c): 
组 标识 符 : 32 比特 长 的 无 符号 整 型 ， 用 于 对 组 进行 唯一 标识 。 组 在 组 表 中 定义 为 项 。 
组 类 型 : 决定 组 的 语义 ， 将 在 后 文 介 绍 。 
计数 器 : 当 组 处 理 分 组 时 进行 更 新 。 
动作 桶 : 一 个 有 序 的 动作 桶 列表 ， 其 中 每 个 动作 桶 都 包含 一 组 要 执行 的 动作 集 及 其 
相关 参数 。 
每 个 组 都 包含 一 个 或 多 个 动作 桶 集 ， 而 每 个 桶 又 包含 一 组 动作 集 。 流 表 项 中 动作 集 是 分 
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组 在 由 各 个 流 表 进 行 处 理 时 不 断 累 积 起 来 的 动作 和 集 ， 桶 中 的 动作 集 与 其 不 同 ， 该 动作 集 在 
分 组 到 达 桶 的 时 候 会 被 执行 。 桶 中 的 动作 集会 按照 顺序 执行 ， 而 且 一 般 最 后 一 个 动作 是 “ 输 
出 ”动作 ， 它 会 将 分 组 转发 到 某 个 特定 的 端口 上 。 有 时 最 后 一 个 动作 也 可 以 是 “组 ”动作 ， 
它 会 将 分 组 发 送 到 另 一 个 组 ， 这 就 可 以 实现 更 为 复杂 的 组 链 处 理 。 

组 可 以 指派 为 图 4-10 中 的 任意 一 种 类 型 ， 这 几 种 类 型 分 别 是 : 全 部 (all)、 选 择 
(select)、 快 速 恢复 (fast failover)、 间 接 (indirect) . 





随机 选择 
b ) 类 型 为 选择 
分 组 
第 一 个 存活 的 桶 
c) 类 型 为 快速 恢复 d) 类 型 为 间接 


图 4-10 组 类 型 


全 部 类 型 会 执行 组 中 的 所 有 动作 桶 ， 因 此 ， 每 个 到 达 的 分 组 都 会 被 复制 到 所 有 桶 中 。 通 
L108| 常 来 说 ， 每 个 动作 桶 会 指定 不 同 的 输出 端口 ， 因 此 每 个 输入 分 组 会 被 发 送 到 多 个 输出 端口 

上 ， 这 个 组 用 于 多 播 或 广播 。 

选择 类 型 会 根据 交换 机 的 选择 算法 (例如 基于 某 些 用 户 配 置 元 组 的 哈 希 或 者 简单 的 
round robin 循环 ) 计算 结果 来 执行 组 中 的 某 个 动作 桶 ， 选 择 算法 可 以 采用 平均 负载 或 者 根据 
SDN 控制 器 指定 的 桶 的 权重 来 划分 负载 的 方式 实现 。 

快速 恢复 类 型 会 指定 第 一 个 存活 的 动作 桶 ， 端 口 的 存活 性 由 OpenFlow 范畴 之 外 的 代码 
来 管理 ， 也 可 与 路 由 算法 或 者 拥塞 控制 机 制 有 关 。 动 作 桶 会 按照 顺序 进行 评估 ， 第 一 个 存活 
的 动作 桶 会 被 选中 ， 这 种 类 型 的 组 可 以 让 交换 机 在 不 需要 向 控制 器 发 起 一 次 查询 就 直接 修改 
转发 路 径 。 

上 述 三 种 类 型 的 动作 桶 都 是 作用 在 单条 分 组 流 上 ， 而 间接 类 型 则 允许 多 条 分 组 流 (也 即 
多 个 流 表 项 ) 指向 一 个 相同 的 组 标识 符 ， 控 制 器 可 以 利用 这 种 类 型 在 特定 条 件 下 提供 更 为 高 
效 的 管理 。 例 如 ， 假 定 100 个 流 表 项 有 相同 的 IPv4 目的 地 址 ， 但 是 其 他 的 匹配 字段 不 同 ， 
而 所 有 这 些 流 表 项 都 会 通过 把 动作 “输出 到 X” 添 加 到 动作 列表 中 ， 从 而 将 分 组 转发 到 端口 
X， 这 时 可 以 用 动作 “组 GID ”的 方式 来 替换 上 述 动作 ， 其 中 GID 是 指 间接 组 表 项 的 ID， 
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该 组 表 项 会 把 分 组 转发 到 端口 X。 如 果 SDN 控制 器 需要 将 输出 端口 从 X 改 为 Y， 就 不 需要 


对 所 有 100 条 流 表 项 进行 更 新 ， 


4.3 


而 仅 需要 修改 对 应 的 组 表 项 即 可 。 
OpenFlow 协议 


OpenFlow 协议 描述 了 发 生 在 OpenFlow 控制 器 和 OpenFlow 交换 机 之 间 的 报 文 交互 。 
通常 来 说 ， 该 协议 是 在 TLS 之 上 实现 的 ， 它 提供 了 安全 的 OpenFlow 信道 。 

OpenFlow 协议 使 得 控制 器 可 以 对 流 表 中 的 流 表 项 执行 增加 、 修 改 和 删除 动作 ， 它 支持 
三 类 报 文 (如 表 4-2 所 示 )。 


控制 器 到 交换 机 : 这 些 报 文 由 控制 器 产生 ， 在 某 些 情况 下 需要 交换 机 对 其 进行 响应 
这 类 报 文 使 得 控制 器 可 以 对 交换 机 的 逻辑 状态 进行 管理 ， 包 括 交 换 机 中 流 和 组 表 项 
的 配置 及 相关 细节 。Packet-out 也 属于 这 一 类 报 文 ， 当 交换 机 将 一 个 分 组 发 送 给 控 
制 器 ， 同 时 控制 器 决定 不 丢弃 该 分 组 ， 而 是 将 分 组 转发 到 交换 机 的 某 个 输出 端口 时 ， 
控制 器 就 会 发 送 Packet-out FRI. 

异步 : 这 类 报 文 不 是 由 控制 器 引发 的 。 这 类 报 文 包括 发 送 给 控制 器 的 各 种 状态 报 文 
以 及 Packet-in 报 文 ， 当 交换 机 中 没有 某 个 分 组 匹配 的 流 表 项 时 ， 会 使 用 Packet-in 报 
文 将 分 组 转发 给 控制 器 。 

对 称 : 这 类 报 文 既 不 是 控制 器 也 不 是 交换 机 主动 引发 的 ， 它 们 有 一 些 帮助 作用 。 
Hello 报 文通 常用 于 控制 器 和 交换 机 之 间 第 一 次 建立 连接 的 时 候 的 交互 ，Echo 请 求 与 
响应 报 文 可 以 让 交换 机 或 控制 器 对 控制 器 到 交换 机 之 间 连 接 的 时 延 或 带宽 进行 测量 ， 
或 者 仅 用 于 测试 设备 是 否 开 启 和 正在 运行 ，Experimenter 报 文 用 于 计划 在 OpenFlow 
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未 来 的 版 本 中 舱 入 新 的 功能 。 


报 文 


Features 

Configuration 

Modify-State 

Read-State 

Packet-out 

Barrier 

Role-Request 
Asynchronous-Configuration 


Packet-in 
Flow-Removed 
Port-Status 
Role-Status 


Controller-Status 


Flow-Monitor 


表 4-2 OpenFlow 报 文 
描述 
控制 器 到 交换 机 
请 求 交换 机 的 功能 信息 ， 交 换 机 会 将 自身 的 功能 信息 反馈 回来 
设置 和 查询 配置 参数 ， 交 换 机 会 对 其 响应 参数 设置 
增加 、 删 除 和 修改 流 /组 表 项 ， 设 置 交换 机 端口 属性 
从 交换 机 收集 信息 ， 例 如 当前 配置 、 统 计 信 息 和 功能 信息 
将 分 组 引导 到 交换 机 的 特定 端口 上 
屏障 请 求 / 响应 报 文 用 于 控制 器 保证 消息 依赖 性 得 到 满足 或 者 接收 完整 的 操作 通告 
设置 或 查询 OpenFlow 信道 的 角色 ， 当 交换 机 连接 到 多 个 控制 器 时 会 有 用 
对 异步 报 文 设置 过 滤器 或 者 查询 过 滤器 信息 ， 在 交换 机 连接 到 多 个 控制 器 时 会 有 用 
异步 
将 分 组 发 送 给 控制 器 
将 流 表 中 流 表 项 的 删除 信息 通知 给 控制 器 
将 端口 状态 变化 通知 给 控制 器 
将 交换 机 从 主 控制 器 改变 为 从 控制 器 的 角色 变换 信息 通知 给 控制 器 
OpenFlow 信道 状态 改变 时 通知 控制 器 ， 当 控制 器 失去 通信 能 力 时 会 协助 进行 故障 


恢复 处 理 


将 流 表 的 变化 通知 给 控制 器 ， 它 允许 控制 器 实时 监视 其 他 控制 器 对 流 表 中 任意 子 集 


的 改变 
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(28) 
报 文 描述 
对 称 
Hello 交换 机 和 控制 器 在 连接 启动 时 进行 交互 
Echo Echo 请 求 / 响应 报 文 可 以 由 交换 机 或 控制 器 发 送 ， 而 且 对 方 必 须 回复 echo 响应 报 文 
Error 交换 机 或 控制 器 用 于 通知 对 方 存在 的 问题 和 故障 
Experimenter 用 于 添加 新 功能 


通常 ,OpenFlow 协议 为 SDN 控制 器 提供 了 三 类 信息 ， 以 用 于 管理 网 络 ， 有 具体 包括 以 下 。 

e 基于 事件 的 报 文 : 当 一 条 链 路 或 一 个 端口 发 生 状 态 变化 时 ， 交 换 机 会 发 送 报 文 给 控 
itil at o 

e 流 统计 信息 : 交换 机 根据 流量 情况 产生 的 信息 ， 该 信息 可 以 让 控制 器 对 流量 进行 监 
视 ， 并 根据 需要 重新 配置 网 络 ， 调 整 网 络 参数 以 满足 QoS 需求 。 

e 封装 的 分 组 : 由 交换 机 发 送 给 控制 器 ， 因 为 流 表 项 中 有 显 式 的 动作 来 发 送 该 分 组 或 
者 交换 机 需要 相应 的 信息 来 建立 一 个 新 的 流 表 项 。 

OpenFlow 协议 使 得 控制 器 可 以 对 交换 机 的 逻辑 结构 进行 管理 ， 并 且 不 需要 考虑 交换 机 

实现 OpenFlow 逻辑 架构 的 细节 。 


4.4 重要 术语 
学 完 本 章 后 ， 你 应 当 能 够 定义 下 列 术 语 。 
动作 桶 流 表 OpenFlow 指令 
动作 列表 组 表 OpenFlow 报 文 
动作 集 KAR OpenFlow 端口 
出 口 表 匹配 字段 OpenFlow 交换 机 


流 OpenFlow 动作 SDN 数据 平面 


| $5 


Foundations of Modem Networking: SDN, NFV, QoE, IoT, and Cloud 


SDN 控制 平面 





因此 ， 对 管理 手段 和 贸易 指导 的 组 织 应 当 具 有 非常 完整 的 特征 ， 即 贸易 可 以 是 
散布 在 大 洋 上 或 者 集中 沿 着 特定 的 航线 ; 或 者 在 某 地 方 散布 而 在 其 他 地 方 集中 ; 并 
且 在 任何 必要 的 时 候 能 够 从 一 种 政策 改变 为 另 一 种 政策 。 

一 一 《世界 危机 》 BAM. LER, 1923 

本 章 目 标 
学 完 本 章 后 ， 你 应 当 能 够 : 
o 列 出 和 解释 SDN 控制 平面 的 重要 功能 。 
© 论述 SDN 控制 器 中 的 路 由 选择 功能 。 
理解 ITU-T Y.3300 分 层 SDN 模型 。 
给 出 OpenDaylight 的 概述 。 
给 出 REST 的 概述 。 
比较 集中 式 和 分 布 式 
SDN 控制 器 体系 结构 。 

e 解释 SDN 网 络 中 BGP 

的 角色 。 

本 章 继续 软件 定义 网 络 
(SDN) 的 学 习 ， 重 点 关注 控制 
平面 (参考 图 5-1)。5.1 节 提 eo 
IET SDN 控制 平面 体系 结构 a 
的 概述 ， 讨 论 了 典型 的 SDN 
控制 平面 实现 的 功能 和 接口 能 
力 。 接 下 来 ， 我 们 概述 ITU-T nm Sie 
分 层 SDN 模型 ， 该 模型 提供 eR | 南 向 API (例如 Open Flow) 
了 对 控制 平面 更 多 的 洞察 。 随 一 一 一 = 
后 描述 了 最 为 重要 的 开源 SDN | 
控制 器 成 果 OpenDaylight。5.4 
节 则 描述 了 REST 北 向 接口 ， 
在 SDN 实现 时 该 接口 已 经 很 
常见 。 最 后 ，5.5 节 讨 论 了 与 
多 个 SDN 控制 器 之 间 的 合作 图 5-1 SDN 体系 结构 
和 协作 相关 的 问题 。 


ee 
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5.1 SDN 控制 平面 体系 结构 


SDN 控制 层 将 应 用 层 服务 请 求 映 射 为 特定 的 命令 和 正式 指令 并 送 达 数 据 平面 交换 机 ， 
并 且 向 应 用 程序 提供 数据 平面 拓扑 和 活动 性 的 信息 。 控 制 层 作为 服务 器 或 服务 器 的 协同 操作 
集合 来 实现 ， 称 之 为 SDN 控制 器 。 本 节 提 供 了 控制 平面 功能 的 概览 。 在 本 节 的 后 面 ， 我 们 
将 学 习 在 控制 平面 中 实现 的 特定 协议 和 标准 。 


5.1.1 控制 平面 功能 


图 5-2 显示 了 SDN 控制 器 完成 的 功能 。 该 图 显示 了 任何 控制 器 都 应 当 提 供 的 基本 功能 ， 
如 Kreutz [KREU15] 论文 提出 的 那样 ， 包 括 下 列 功能 : 

e 最 短路 径 转发 : 使 用 从 交换 机 收集 到 的 路 由 选择 信息 ， 创 建 优先 的 路 径 。 

e 通告 管理 器 : 接收 、 处 理 和 向 应 用 事件 转发 诸如 告警 通告 、 安 全 性 告警 和 状态 改变 等 。 

e 安全 性 机 制 : 在 应 用 程序 和 服务 之 间 提 供 隔离 和 强化 安全 性 。 

© 拓扑 管理 器 : 建立 和 维护 交换 机 互联 拓扑 信息 。 

e 统计 管理 器 : 在 经 过 交换 机 的 流量 上 收集 数据 。 

e 设备 管理 器 : 配置 交换 机 参数 和 属性 ， 并 且 管 理 流 表 。 

由 SDN 控制 器 提供 的 功能 可 以 被 看 做 网 络 操作 系统 (network operating system, NOS). 
如 同 传统 的 OS 那样 ，NOS 提供 基本 的 服务 、 通 用 的 应 用 编程 接口 (API) 和 对 研发 者 的 低 
层 元 素 的 抽象 。 一 个 SDN NOS 的 功能 ， 例 如 在 前 面 列表 上 的 那些 功能 ， 使 得 研发 者 能 够 
定义 网 络 策略 和 管理 网 络 ， 而 不 必 关 注 网 络 设 备 特征 的 细节 ， 这 些 特征 可 能 是 异 构 的 和 动 
态 的 。 随 后 讨论 的 北向 接口 
提供 一 种 手段 ， 应 用 程序 研 
发 者 和 网 络 管理 员 用 来 访问 
SDN 服务 和 执行 网 络 管理 任 
务 。 此 外 ， 定 义 良 好 的 北向 
接口 使 得 研发 者 生成 这 样 的 
软件 ， 该 软件 不 仅 独立 于 数 
据 平面 的 细节 ， 而 且 在 很 大 
程度 上 能 够 用 于 多 种 SDN 控 
制 器 服务 器 上 。 图 5-2 SDN 控制 平面 功能 和 接口 


网 络 操作 系统 “面向 计算 机 网 络 的 基于 服务 器 的 操作 系统 。 它 可 能 包括 目录 服务 、 网 
络 管理 、 网 络 监视 。 网 络 策略 < “用户 组 管理 、 网 络 安全 和 其 他 网 络 相关 的 功能 。 


一 些 来 自 商 业 和 开源 的 不 同 举措 已 经 导致 了 SDN 控制 器 的 实现 。 下 列 列表 描述 了 一 些 
杰出 的 控制 器 。 
e OpenDaylight : 一 种 用 于 网 络 可 编程 性 的 开源 平台 ， 该 平台 启用 SDN, 、 是 用 Java 所 
写 。OpenDaylight 由 思科 和 IBM 所 建立 ， 它 的 成 员 主 要 是 网 络 厂商 。OpenDaylight 
能 够 实现 作为 单一 集中 式 的 控制 器 ， 但 使 得 控制 器 能 够 分 布 在 如 下 场合 ， 其 中 一 
或 多 个 实例 可 以 运行 在 网 络 中 的 一 个 或 多 个 集群 服务 器 之 上 。 
© 开放 网 络 操作 系统 (ONOS): 一 个 开源 的 SDN 网 络 操作 系统 ， 最 初 在 2014 年 颁布 。 





在 这 个 清单 上 ， 最 重要 的 控 
制 器 也 许 是 OpenDaylight， 我 们 SDNi、ForCES CE-CE ) 
随后 在 5.3 节 中 描述 。 SDN 


9.1.2 


南 向 接口 提供 了 SDN 控制 器 
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EE — EAA RR, FH BE AT&T 和 NTT 运营 商 及 其 他 服务 提供 商 提供 资金 
并 研发 。 值 得 注意 的 是 ，ONOS 得 到 了 开放 网 络 基 金 会 (Open Networking Foundation) 
的 支持 ， 使 得 ONOS 在 SDN 发 展 过 程 很 可 能 成 为 主要 因素 。 设 计 ONOS 用 于 分 布 式 
控制 器 ， 提 供 在 多 个 分 布 式 控制 器 上 对 划分 和 分 布 网 络 状态 的 抽象 。 

POX: 一 种 开放 源码 的 OpenFlow 控制 器 ， 该 控制 器 已 由 一 些 SDN 研发 者 和 工程 师 
所 实现 。POX 具有 编写 良好 的 API 和 文档 。 它 也 提供 一 个 基于 Web 的 图 形 用 户 接口 
(GUI)， 并 且 用 Python 语言 所 写 。 与 用 某 些 其 他 实现 语言 如 C++ 相 比 ,用 Python 通 
常会 缩短 试验 和 研发 周期 。 

Beacon: 一 种 由 斯 坦 福 大 学 研发 的 开放 源码 包 。 用 Java 所 写 并 且 高 度 集 成 进 Eclipse 
集成 研发 环境 (IDE) o Beacon 是 第 一 个 控制 器 ， 它 使 初学 编程 者 从 事 工 作 并 生成 
一 种 SDN 工作 环境 成 为 可 能 。 

Floodlight: 一 种 由 Big Switch Networks 公司 研发 的 开放 源码 包 。 尽 管 它 其 实 是 基 
于 Beacon 的 ， 但 它 使 用 Apache Ant 进行 构建 ， 而 Apache Ant 是 一 种 流行 度 非 常 高 
的 软件 构建 工具 ， 这 使 得 Floodlight 的 研发 更 为 容易 和 更 为 灵活 。Floodlight 具有 一 
个 活跃 的 社区 ， 并 且 具 有 大 量 能 够 被 增强 以 生成 一 个 系统 的 特色 ， 这 样 的 系统 可 以 
更 好 地 满足 特定 组 织 的 需求 :基于 Web 和 基于 Java 的 GUI 都 是 可 用 的 ， 并 且 通 过 
REST API 可 见 它 的 大 多 数 功能 。 

Ryu: 一 种 由 NTT 实验 室 研发 的 基于 开放 源码 组 件 的 SDN 框架 。 它 是 开放 源码 的 并 且 
全 部 用 Python 语言 研发 。 应 用 平面 

Onix: 另 一 种 分 布 式 控制 应 用 或 服务 

fit, Hi VMWare, Google pope 

All NTT 所 DE A. Onix 是 ( Mil REST ) 
一 种 商业 上 可 用 的 SDN 
控制 器 (参见 5.3 节 )。 


东西 向 协议 (如 


控制 器 
南 向 接口 


与 数据 平面 交换 机 (参见 图 5-3 ) 
之 间 的 逻辑 连接 。 某 些 控制 器 产 





品 和 配置 仅 支持 单一 的 南 向 接口 南 向 协议 
协议 。 一 种 更 为 灵活 的 方法 是 使 ee 
一 个 南 向 抽象 层 ， 当 支持 多 个 

南 向 API 时 ， 该 层 对 控制 平面 功 gy 


能 提供 了 一 种 公共 接口 。 
最 为 通用 的 已 实现 南 向 API 


图 $5-3_SDN 控制 器 接口 


是 OpenFlow, 在 第 4 章 中 有 更 为 详细 的 内 容 。 其 他 南 向 接口 包括 下 列 内 容 。 


o 开放 vSwitch 数据 库 管理 协议 (OVSDB ) : 


Open vSwitch (OVS) 是 一 种 开放 源码 软 
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件 项 目 ， 该 项 目 实现 了 虚拟 交换 ， 与 几乎 所 有 流行 管理 程序 (hyper visor) 能 够 进行 
交互 。OVS 在 控制 平面 对 虚拟 和 物理 端口 使 用 OpenFlow 来 转发 报 文 。OVSDB 是 一 
种 用 于 管理 和 配置 OVS 实例 的 协议 。 
o 转发 和 控制 元 素 分 离 (ForCES) : IETF 的 一 种 工作 成 果 ， 该 成 果 标 准 化 了 IP 路 由 器 
的 控制 平面 和 数据 平面 之 间 的 接口 。 
© 协议 无 关 转 发 (POF): 被 宣传 为 对 OpenFlow 的 强化 ， 它 将 数据 平面 的 逻辑 简化 为 非 
一 般 的 转发 元 素 ， 该 元 素 不 需要 根据 在 各 种 协议 层次 的 字段 来 理解 协议 数据 单元 
(PDU) 格式 。 相 反 ， 通 过 利用 一 个 分 组 中 的 〈 偏 移 ， 长 度 ) 块 进行 匹配 。 有 关 分 组 格 
式 的 智能 放置 在 控制 平面 层次 。 


5.1.3 北向 接口 


北向 接口 使 得 应 用 程序 能 够 访问 控制 平面 功能 和 服务 ， 而 不 必 知 道 底层 网 络 交换 机 的 细 
节 。 更 为 典型 地 ， 北 向 接口 可 看 作 是 一 个 软件 API 而 不 是 一 个 协议 。 

与 南 向 接口 和 东 向 /西向 接口 不 同 ， 这 里 定义 了 若干 异 构 的 接口 ， 对 于 北向 接口 没有 
被 广泛 接受 的 标准 。 结 果 是 对 于 不 同 的 控制 器 研制 了 一 些 独特 的 API， 使 研发 SDN 应 用 程 
序 的 工作 复杂 化 了 。 为 了 人 处理 这 个 问题 ， 开 放 网 络 基金 会 于 2013 年 成 立 了 北向 接口 工作 组 
(NBI-WG)， 其 目标 是 定义 和 标准 化 一 些 用 途 广 泛 的 北向 API。 在 写作 本 书 时 ， 该 工作 组 还 
没有 发 布 任何 标准 。 

NBI-WG 的 一 个 有 用 的 见解 是 ， 即 使 在 各 个 SDN 控制 器 实例 中 ，API 也 需要 位 于 不 同 
“纬度 ”。 这 就 是 说 ， 某 些 API 可 能 比 其 他 “更 北 一 些 ”， 访问 一 个 、 几 个 或 所 有 这 些 不 同 的 
API 能 够 用 于 某 个 给 定 的 应 用 程序 的 需求 。 

图 5-4 图 示 了 多 个 API 纬度 的 概念 ， 该 图 来 源 于 NBI-WG 纲领 文件 (2013 年 10 A). 
例如 ， 为 了 管理 一 个 网 络 域 ， 一 个 应 用 可 能 需要 直接 显露 控制 器 功能 的 一 个 或 更 多 API， 并 
且 使 用 调用 位 于 该 控制 器 中 的 分 析 或 报告 服务 的 API。 


接口 范围 /主题 (宽度) 





应 用 特定 的 接口 
(例如 ， 统 一 通信 ) 
虚拟 网 络 管理 
(如 OpenStack) s QoS 路 径 供给 
服务 链 
W 交换 /路 由 FA, 
au Se Se 
aE BERNE — 选择 转发 
党 I w= 
Sek f : 
TE 网 络 切片 (例如 ， 类 似 Flowvisor ) 
网 络 设备 抽象 层 ( OpenDaylight SAL ) 
编程 语言 /自动 验证 
OpenFlow + 交换 机 ID 
KXXXKXX DM yc 
OpenFlow 控 制 的 交换 机 非 OpenFlow 控 制 的 交换 机 


K 5-4 北向 接口 的 纬度 
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图 5-5 显示 了 具有 多 层次 北向 API 的 体系 结构 的 简化 的 例子 ， 下 面 给 出 清单 中 描述 的 
层次 。 
o 基础 控制 器 功能 API: 这 些 API 显露 了 控制 器 的 基本 功能 并 且 由 研发 者 用 于 产生 网 
络 服务 。 
e 网 络 服务 API: 这 些 API 对 北向 显露 了 网 络 服务 。 
e 北向 接口 应 用 程序 API : 这 些 API 显露 了 应 用 程序 相关 的 服务 ， 这 些 服务 建立 在 网 
络 服务 之 上 。 
用 于 定义 北向 API 的 共同 体系 结构 的 风格 是 表述 性 状态 转移 (REST)。5.4 节 将 讨论 
REST. 


商务 逻辑 实现 


控制 平面 实现 


设备 接口 协议 适配器 


图 5-5 SDN 控制 器 API 





5.1.4 ”路 由 选择 


如 同 对 于 任何 网 络 或 互联 网 ，SDN 网 络 要 求 有 路 由 选择 功能 (参见 2.4 节 )。 用 一 般 的 
术语 来 讲 ， 路 由 选择 功能 是 由 收集 拓扑 信息 的 协议 和 网 络 的 流量 情况 以 及 设计 通过 该 网 络 路 
径 的 算法 组 成 。 回 顾 第 2 章 可 知 有 两 类 路 由 选择 协议 : 在 自治 系统 (AS) 中 运行 的 内 部 路 由 
器 协议 (RP) 和 在 自治 系统 之 间 运 行 的 外 部 路 由 器 协议 (ERP)。 

IRP 关注 发 现 一 个 AS 之 中 的 路 由 器 拓扑 ， 并 且 基 于 不 同 的 测度 决定 到 每 个 目的 地 的 最 
佳 路 径 。 两 个 广泛 使 用 的 IRP 是 开放 最 短路 径 优先 (OSPF) 协议 和 加 强 内 部 网 关 路 由 选择 
PMX (EIGRP). ERP 不 必 收 集 像 IRP 这 样 多 的 详细 流量 信息 。 相 反 ， 对 于 ERP 主要 关注 的 
是 确定 网 络 和 AS 外 部 端 系统 的 可 达 性 。 因 此 ，ERP 通常 仅 在 连接 一 个 AS 与 另 一 个 AS 的 
边缘 结 点 中 运行 。 边 界 网 关 协 议 (BGP) 通常 用 作 ERP. 

传统 上 ， 路 由 选择 功能 分 布 在 网 络 中 的 路 由 器 之 间 。 每 台 路 由 器 负责 建立 网 络 拓扑 的 映 
像 。 对 于 内 部 路 由 选择 ， 每 台 路 由 器 对 于 每 个 IP 目的 地 址 ， 除 了 必须 收集 连通 性 和 时 延 的 
信息 外 ， 还 必须 计算 首选 路 径 。 然 而， 在 一 个 SDN 控制 的 网 络 中 ， 在 SDN 控制 器 中 路 由 选 
择 功 能 的 集中 化 是 明智 的 。 该 控制 器 能 够 开发 一 个 网 络 状态 的 一 致 视图 用 于 计算 最 短路 径 ， 
并 能 够 实现 应 用 程序 知晓 的 路 由 选择 策略 。 数 据 平面 交换 机 免除 了 与 路 由 选择 相 联 系 的 处 理 
和 存储 的 负担 ， 从 而 改善 了 性 能 。 
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2 
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集中 式 路 由 选择 应 用 程序 完成 两 个 明确 的 功能 : 链 路 发 现 和 拓扑 管理 器 。 

对 于 链 路 发 现 ， 路 由 选择 功能 需要 了 解数 据 平面 交换 机 之 间 的 链 路 。 注 意 ， 在 网 络 互联 
的 情况 下 ， 路 由 器 之 间 的 链 路 是 网 络 ， 而 对 于 如 以 太 网 交换 机 这 样 的 二 层 交 换 机 ， 链 路 则 是 
直接 的 物理 链 路 。 此 外 ， 链 路 发 现 必须 在 路 由 器 和 主机 系统 之 间 以 及 在 这 人 台 控 制 器 域 中 的 路 
由 天 与 在 相 邻 域 中 的 路 由 器 之 间 执 行 。 发现 由 进入 控制 器 的 网 络 域 的 未 知 流量 所 触发 ， 该 流 
量 或 者 来 自 相 连 的 主机 或 者 来 自 相 邻 的 路 由 器 。 

拓扑 管理 器 维护 着 针对 网 络 的 拓扑 信息 并 计算 本 网 络 的 路 径 。 路 径 计 算 涉 及 确定 两 个 数 
据 平 面 结 点 之 间或 数据 平面 结 点 和 主机 之 间 的 最 短路 径 。 


5.2 ITU-T 模型 


在 讨论 SDN 控制 器 设计 之 前 ， 浏 览 一 下 在 
ITU-T Y.3300 中 定义 的 SDN 高 层 体系 结构 很 有 
用 (参见 图 5-6 )。 如 同 在 图 3-3 中 描述 的 那样 ， ------------==- === 应 用 -控制 接口 
Y.3300 模型 是 由 三 个 层次 或 应 用 层 、 控 制 平 面 
和 资源 平面 组 成 。 如 在 Y.3300 中 所 定义 ， 应 用 SDN 控制 层 
层 是 这 样 一 种 场所 ， 其 中 SDN 应 用 程序 通过 定 
义 网 络 资源 的 服务 知晓 行为 来 规定 网 络 服务 或 
商务 应 用 。 应 用 程序 经 过 API 与 SDN 控制 层 
交互 ， 该 API 形成 了 应 用 程 -控制 接口 。SDN 六 
控制 平面 利用 信息 和 数据 模型 将 网 络 资源 的 抽 
象 视图 通过 该 API 传递 给 应 用 程序 ， 应 用 程序 
进而 可 以 利用 抽象 视图 来 调度 资源 。 图 5-6 SDN 的 高 层 体系 结构 (ITU-T Y.3300 ) 

控制 层 提供 了 一 种 动态 地 控制 网 络 资源 的 行为 的 手段 ， 就 像 由 应 用 层 指 示 的 那样 。 控 制 
层 能 够 被 看 作 拥 有 下 列子 层 。 

e 应 用 程序 支持 : 为 SDN 应 用 程序 提供 API， 用 以 访问 网 络 信息 和 编程 应 用 程序 特定 

的 网 络 行为 。 

eo 编排 : 提供 网 络 资源 的 自动 控制 和 管理 以 及 来 自 应 用 层 对 于 网 络 资源 请 求 的 协调 。 编 
排 包 括 物 理 的 和 虚拟 的 网 络 拓扑 、 网 络 元 素 、 流 量 控制 和 其 他 网 络 相关 方面 。 

o 抽象 : 与 网 络 资源 交互 ， 并 且 提 供 网 络 资源 (包括 网 络 能 力 和 特征 ) 的 抽象 ， 以 支持 
物理 的 和 虚拟 的 网 络 资源 的 管理 与 编排 。 这 样 的 抽象 依赖 标准 信息 和 数据 模型 并 且 
独立 于 下 层 的 传输 基础 设施 。 

资源 层 由 数据 平面 转发 元 素 ( 交 换 机 ) 的 互 连 集合 组 成 。 这 些 交 换 机 根据 由 SDN 控制 
层 做 出 的 决定 ， 执 行 数据 分 组 的 传输 并 经 由 资源 - 控制 接口 转发 到 资源 层 。 大 多 数控 制 是 代 
表 应 用 程序 的 。 然 而 ，SDN 控制 层 可 能 代表 其 自己 ， 为 了 性 能 而 执行 资源 层 控制 (例如 流量 
工程 )。 资 源 层 能 够 视 为 拥有 下 列子 层 。 

e 控制 支持 : 支持 经 由 资源 一 控制 接口 的 资源 层 功 能 的 可 编程 能 力 。 

e 数据 传输 和 处 理 : 提供 数据 转发 和 数据 路 由 选择 功能 。 

SDN 设计 原则 寻求 数据 交换 机 上 的 复杂 性 和 处 理 负担 最 小 化 。 相 应 地 ， 我 们 能 够 期 待 
许多 (如 果 不 是 大 多 数 ) 商用 SDN 交换 机 将 装备 单一 的 南 向 接口 〈 例 如 OpenFlow) 以 简化 
实现 和 配置 。 但 是 不 同 的 交换 机 可 能 支持 对 于 控制 器 不 同 的 南 向 接口 。 因 此 ，SDN 控制 器 





资源 控制 接口 


源 层 
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应 当 支 持 对 数据 平面 的 多 种 协议 和 接口 ， 并 且 能 够 将 所 有 这 些 接口 抽象 为 统一 的 网 络 模型 以 
用 于 应 用 层 。 


5.3 OpenDaylight 


OpenDaylight 项 目 是 一 个 由 Linux 基金 会 主持 的 开放 源码 项 目 ， 实 际 上 包括 每 个 主要 的 
网 络 组 织 、SDN 技术 的 用 户 和 SDN 产品 的 厂商 的 参与 。 该 项 目 并 非 是 打造 出 新 标准 ， 其 目 
标 是 产生 一 个 可 扩展 、 开 放 源 码 、 虚 拟 化 的 网 络 平台 ,该 平台 置 于 如 OpenFlow 之 类 的 现 有 
标准 之 上 。OpenDaylight 的 方法 是 使 产业 参与 者 一 起 协作 研发 核心 开放 源码 模块 ， 围 绕 这 个 
平台 能 够 增加 独特 的 价值 。 目 标 是 为 研发 者 利用 、 贡 献 和 建造 商业 产品 与 技术 提供 共同 的 和 
开放 的 SDN 平台 。 

对 OpenDaylight 的 一 些 细节 内 容 进行 介绍 是 很 有 必要 的 ， 因 为 它 为 读者 提供 了 一 个 典 
型 SDN 控制 器 功能 范畴 的 出 色 案 例 。 


5.3.1 OpenDaylight 的 体系 结构 
图 5-7 提供 了 OpenDaylight 体系 结构 的 顶层 视图 。 它 由 5 个 逻辑 层次 组 成 ， 如 后 面 的 


清单 所 示 。 
网 络 应 用 、 编 排 | 用 户 接口 | 网 络 应 用 、 编 排 和 服务 
和 服务 EY CERE. a 





5 
控制 器 功能 > 
和 服务 Q 
A 
O 
南 向 接口 和 协议 E SAL) 
OpenFlow | (ONFIETE |) “ae 


数据 平面 元 素 (虚拟 。 [A N 


图 5-7 OpenDaylight 体系 结构 


e 网 络 应 用 、 编 排 和 服务 : 由 商业 和 网 络 逻 辑 应 用 程序 组 成 ， 其 中 后 者 控制 和 监控 着 
网 络 行为 。 这 些 应 用 程序 使 用 控制 器 获取 网 络 智能 ， 运 行 算法 以 完成 分 析 ， 进 而 使 
用 控制 器 来 编排 整个 网 络 的 新 规则 (如果 有 的 话 )。 

e API: 用 于 OpenDaylight 控制 器 功能 的 公共 接口 集合 。OpenDaylight 支持 用 于 北 
向 API 的 开放 服务 网 关 提案 ( Open Service Gateway Initiative, OSGi) 框架 和 双向 
REST。 该 OSGi 架构 用 于 将 在 相同 地 址 空间 作为 控制 器 运行 的 应 用 程序 ， 而 REST 
(基于 Web) API 则 用 于 作为 控制 器 的 应 用 程序 ， 这 些 应 用 程序 不 在 相同 的 地 址 空间 
或 者 甚至 不 必须 在 相同 的 机 器 上 。 

e 控制 器 功能 和 服务 : SDN 控制 平面 的 功能 与 服务 。 
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© 服务 抽象 层 ( SAL) : 提供 数据 平面 资源 的 统一 视图 ， 因 此 控制 平面 功能 能 独立 于 特 
定 的 北向 接口 和 协议 实现 。 
© 南 向 接口 和 协议 : 支持 OpenFlow、 其 他 标准 的 南 向 协议 和 厂商 特定 接口 。 


开放 服务 网 关 提案 (OSGi) 定义 用 于 Java 的 动态 组 件 系统 的 规范 集合 。 这 些 规范 通 
过 提供 一 种 楼 决 化 的 体系 结构 ， 对 于 大 规模 分 布 式 系统 以 及 小 型 、 衣 入 式 应 用 程序 降低 了 
软件 复杂 性 。 : 


OpenDaylight 体系 结构 有 几 个 值得 注意 的 方面 。 首 先 ，OpenDaylight 包括 了 控制 平面 和 
应 用 平面 的 功能 。 因 此 ，OpenDaylight 不 仅仅 是 SDN 控制 器 实现 。 这 使 得 企业 和 电信 和 网络 
管理 员 在 他 们 自己 的 服务 器 上 保持 开放 源码 软件 来 构造 SDN 配置 。 厂 商 能 够 使 用 该 软件 来 
生成 具有 增值 的 附加 应 用 平面 功能 和 服务 的 产品 。 

OpenDaylight 设计 的 第 二 个 重要 方面 是 ， 它 没有 约束 到 OpenFlow 或 任何 其 他 特定 南 
向 接口 上 。 这 在 构造 SDN 网 络 配置 方面 提供 了 更 大 的 灵活 性 。 在 这 种 设计 中 的 关键 元 素 是 
SAL, SAL 使 得 控制 器 在 南 向 接口 上 支持 多 种 协议 并 且 对 控制 器 功能 和 SDN 应 用 程序 提供 
一 致 性 的 服务 。 图 5-8 显示 了 SAL 的 运行 。OSGi 框架 为 可 用 的 南 向 协议 提供 了 动态 链接 插 
件 。 这 些 协 议 的 能 力 被 抽象 为 特色 的 集合 ， 这 些 特色 能 经 SAL 中 的 服务 管理 器 被 控制 平面 
服务 所 调用 。 该 服务 管理 器 维护 着 一 个 注册 机 构 ， 用 来 将 服务 请 求 映射 到 特色 请 求 。 基 于 服 
务 请 求 ，SAL 映射 到 适当 的 插件 并 因此 使 用 最 为 适合 的 南 向 协议 来 与 给 定 的 网 络 设备 交互 。 

OpenDaylight 项 目的 重点 是 软件 套件 有 模块 化 、 可 即 插 即 用 和 灵活 性 等 特色 。 所 有 代码 
以 Java 实现 并 且 包 含 在 其 自己 的 Java 虚拟 机 (JVM) 中 。 正 因为 如 此 ， 它 能 够 部 署 在 支持 

Java 的 任何 硬件 和 操作 系统 平台 上 。 





OpenFlow 其 他 
插件 插件 


图 5-8 服务 抽象 层 模 型 


5.3.2 OpenDaylight 的 氨 版 本 
在 本 书写 作 时 ，OpenDaylight 最 近 的 版 本 是 氨 (Helium) 版 本 ， 图 5-9 显示 了 该 版 本 。 
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控制 器 平台 (不 包括 应 用 程序 ， 应 用 程序 有 可 能 运行 在 该 控制 器 之 上 ) 是 由 不 断 增 长 的 动态 
可 插 模块 集合 组 成 ， 每 个 模块 完成 一 个 或 多 个 SDN 相关 的 功能 和 服务 。5 个 模块 被 认为 是 
基本 的 网 络 服务 功能 ， 很 可 能 包括 在 任何 OpenDaylight 实现 中 ， 如 下 所 述 。 
。 拓扑 管理 器 : 通过 订购 结 点 增加 和 删除 以 及 它们 的 互联 事件 ， 学 习 网 络 布局 的 服务 。 
应 用 需要 网 络 视图 使 用 这 个 服务 。 
o 统计 管理 器 : 收集 交换 机 相关 的 统计 参数 ,包括 流 统计 、 结 点 连接 器 和 队列 占用 。 
o 交换 机 管理 器 : 保持 数据 平面 设备 的 细节 。 随 着 发 现 一 台 交换 机 ， 它 的 属性 〈 例 如 ， 
它 是 何 种 交换 机 / 路由器、 软件 版 本 、 能 力 ) 由 交换 机 管理 器 存储 在 数据 库 中 。 
e 转发 规则 管理 器 : 安装 路 径 并 且 跟踪 下 一 跳 信 息 。 与 交换 机 管理 器 和 拓扑 管理 器 协 
同 的 工作 是 注册 和 维护 网 络 流 状态 。 使 用 它 的 应 用 程序 不 必 具 有 网 络 设备 指定 的 可 


视 性 。 
e 主机 跟踪 器 : 跟踪 并 维护 连接 主机 的 信息 。 
图 标 i : 
AAA ah 授权 和 记 账 。 - OVSDB ”Open vSwitch 数据 库 协议 
BGP ”边界 网 关 协 议 “ “PCEP 路 径 计算 元 素 通信 协议 
COPS “公共 开放 策略 服务 “一 一 PCMM ”分 组 电费 多 媒体 
DLUX ”OpenDaylight 用 户 体验 ”Plugin20C 对 Open Control 的 插件 
DDoS ”分 布 式 拒绝 服务 SNL SDN 接口 
DOCSIS 电 级 服务 接口 之 上 的 数据 规范 SFC 服务 功能 链 
FRM ”转发 规则 管理 器 SNBi 安全 网 络 自 举 基础 设施 
GBP AE PAAR = SNMP. 简单 网 络 管理 协议 
LISP 位置 /标识 符 分 离 协 议 TTP FR 


OSGi FRAN KE -VN “虚拟 租户 网 络 





ary 附加 的 虚拟 和 govt 平面 元 
国医 Ga lee 


5-9 OpenDaylight 结构 (AIRE) 


为 了 增强 这 些 基 本 服务 研发 了 其 他 一 些 模块 ， 使 得 实现 更 为 复杂 和 特色 丰富 的 控制 器 成 
为 可 能 ， 如 表 5-1 PATA. 
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特色 


Open vSwitch 数据 库 协议 (OVSDB) 


NETCONF 


分 组 电缆 多 媒体 (PCMM) 


安全 网 络 自 举 基 础 设施 


位 置 /标识 符 分 离 协 议 (LISP) 


BGP 


路 径 计算 单元 通信 协议 (PCEP) 


简单 网 络 管理 协议 (SNMP) 


Plugin2OC 


OpenStack 服务 


基于 组 的 策略 (GBP) 服务 


服务 功能 链 (SFC) 


鉴别 、 授 权 和 账户 (AAA) 


电缆 服务 接口 之 上 的 数据 规范 (DOCSIS) 
虚拟 租户 网 络 (VTN) 管理 器 


开放 vSwitch 数据 库 (OVSDB) 协议 中 子 


Plugin2OC 
LISP 服务 


L2Switch 


SNBi 服务 


SDN 接口 (SDNi) 聚集 器 


OpenDaylight 模块 
描述 
南 向 接口 和 协议 插件 

OpenFlow 协议 

用 于 虚拟 交换 机 的 网 络 配置 协议 

由 IETF 研发 的 网 络 管理 协议 。NETCONE 提供 了 一 种 安装 、 操 作 和 
删除 网 络 设 备 配 置 的 机 制 

PCMM 为 电缆 调制 解 调 器 网 络 元 素 提供 对 控制 和 管理 服务 的 接口 

提供 一 个 能 被 其 他 应 用 程序 使 用 的 安全 信道 ， 以 安全 地 连接 到 各 种 
设备 

IETF 提出 的 一 种 标准 ， 该 标准 将 当前 IP 地 址 分 成 两 个 分 离 的 名 字 空 
间 ， 以 分 别 显示 IP 位 置 和 标识 符 

对 跨越 多 运营 商 网 络 的 路 由 选择 服务 ，BGP 链 路 状态 (BGP-LS) 协 
议 运 行 在 控制 器 之 上 。BGP-LS 从 相 邻 的 自治 系统 学 习 路 由 信息 并 构建 
一 个 统一 且 集 中 的 路 由 选择 数据 库 

用 于 置 备 虚拟 专用 网 (VPN) 配置 信息 

与 网 络 管理 相关 的 一 组 规范 的 集合 ， 它 包括 协议 本 身 、 数 据 库 的 定义 
以 及 其 他 一 些 相关 的 概念 。SNMP 使 得 管理 站 点 可 以 有 效 监视 和 控制 网 
络 中 的 设备 

用 于 Open Contrail 平台 的 插件 .Open Contrail 是 一 个 开放 源码 的 项 目 ， 
它 的 目标 是 作为 用 于 云 基础 设施 的 网 络 平台 

控制 器 模块 

OpenStack 是 一 个 开放 源码 项 目 ， 以 研发 一 个 大 型 可 扩展 云 操作 系统 
平台 。 使 能 虚拟 网 络 的 SDN 体系 结构 非常 适合 于 OpenStack 

GBP 是 一 个 用 于 OpenDaylight 的 以 应 用 程序 为 中 心 的 策略 模型 ， 该 模 
型 将 关于 应 用 程序 的 连接 要 求 与 关于 网 络 基 础 设施 的 底层 细节 相 分 离 

由 IETF 提出 的 一 种 用 户 服务 功能 组 合 的 标准 。 在 SFC 模型 中 ， 无论 
是 物理 的 还 是 虚拟 的 服务 功能 ， 都 不 需要 以 串 行 的 方式 按 序 部 署 在 分 组 
传输 路 径 上 ， 相反 ， 所 有 流量 都 会 被 严密 管控 ， 并 依次 通过 所 需 的 服务 
功能 ， 而 无 论 这 些 服务 功能 位 于 何 处 

提供 三 个 基本 的 安全 性 服务 : 鉴别 意味 着 独立 于 绑 定 的 选择 (直接 的 
或 联邦 的 )， 鉴 别人 和 机 器 用 户 的 身份 ; 授权 意味 着 人 或 机 器 用 户 访问 资 
WH. 包括 RPC、 通 告 订阅 和 数据 树 的 子 集 ， 账户 意味 着 记录 和 访问 人 或 
机 器 用 户 访问 资源 的 记录 ， 该 资源 包括 RPC、 通 告 订阅 和 数据 树 的 子 集 

用 于 电缆 调制 解 调 器 对 数字 网 络 接口 的 标准 协议 栈 

VTN 是 一 个 应 用 程序 ， 该 程序 在 SDN 控制 器 上 提供 了 多 租户 虚拟 
网 络 

对 OVSDB 的 中 子 接口 

对 Plugin2OC 插件 的 服务 接口 

对 LISP 插件 的 服务 接口 

这 是 OSI 第 二 层 交 换 机 路 由 选择 功能 。 基 本 的 概念 是 使 用 控制 器 智能 
设计 通过 以 太 网 交换 网 络 的 路 径 ， 当 路 由 到 目的 地 的 路 径 未 知 时 避免 使 
用 广播 

对 SNBi 插件 的 服务 接口 

OpenDaylight-SDN 接口 应 用 程序 项 目 致力 于 通过 将 SDNi (软件 定义 
网 络 接口 ) 开发 为 一 种 应 用 程序 ( ODL-SDNi 应 用 )， 从 而 实现 SDN 控 
制 器 之 间 的 通信 。 该 服务 在 工作 时 类 似 一 个 聚集 器 ， 负 责 收集 拓扑 、 统 
计数 据 、 主 机 标识 与 位 置 等 网 络 信息 


特色 
AAA 鉴别 过 滤器 


DLUX UI 


VIN 控制 器 
OpenStack 中 子 
SDNi 封装 


分 布 式 拒绝 服务 (DDoS) 保护 


5.4 REST 
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(2) 
描述 

拦截 到 达 或 来 自控 制 器 的 请 求 或 响应 以 证 实 标记 
网 络 应 用 程序 、 编 排 和 服务 

一 种 基于 JavaScript 的 无 状态 用 户 接 口 ， 以 提供 一 种 一 致 的 和 用 户 友 
好 的 接口 与 OpenDaylight 项目 和 基本 控制 器 交互 。DLUX 是 一 种 基于 
Web 服务 的 接口 ， 该 接口 提供 容易 接 入 的 、 受 OpenDaylight 控制 器 控制 
的 网 络 模型 

为 用 户 提 供 VTN 的 API - 

中 子 是 OpenStack 的 一 个 子 系统 ， 人 允许 经 API 网 络 基于 模型 的 集成 
(支持 核心 基础 设施 作为 服务 [laas] 的 能 力 ) 

负责 共享 和 收集 到 达 / 来 自 联邦 控制 器 的 信息 

指示 OpenFlow 控制 器 编程 控制 虚拟 和 物理 交换 机 ， 让 OpenFlow it 
数 器 收集 网 络 流量 的 统计 量 。 该 应 用 程序 学 习 基 线 流量 模式 并 寻找 网 络 
层次 DDoS 攻击 的 异常 指示 。 如 果 应 用 程序 检测 到 一 个 攻击 ， 它 指令 
OpenFlow 控制 器 将 可 疑 流 发 送 给 特殊 的 缓解 装置 以 滤 除 可 疑 的 流量 


表述 性 状态 转移 ( REpresentational State Transfer，REST) 是 一 种 用 于 定义 API 的 体系 
结构 风格 。 这 已 经 成 为 构造 SDN 控制 器 北向 接口 的 一 种 标准 方式 。REST API 或 具有 REST 
风格 (遵循 REST 约束 ) 的 API 并 非 是 一 种 协议 、 语 言 或 设 定 的 标准 。 它 本 质 上 是 API 必须 
遵循 的 REST 风格 的 6 条 约束 。 这 些 约束 的 目标 是 最 大 化 软件 交互 的 可 扩展 性 和 独立 性 / 协 
同 工 作 能 力 ， 并 提供 一 种 构造 API 的 简单 方法 。 


5.4.1 REST 约束 


REST 假定 基于 Web 的 访问 的 概念 被 用 于 应 用 程序 和 服务 之 间 的 交互 ， 该 服务 位 于 API 
的 任 一 侧 。REST 并 不 定义 API 的 细节 ， 却 在 应 用 程序 与 服务 之 间 的 交互 的 性 质 施加 了 种 种 


约束 。 这 6 个 REST 约束 如 下 : 


o 客户 端 - 服 务 器 
© 无 状态 

。 高 速 缓存 

e 一 致 接口 

e 分 层 的 系统 

e 按 需 代码 


本 节 随 后 将 更 为 详细 地 讨论 这 些 约束 。 


客户 一 服务 器 约束 


这 个 简单 的 约束 要 求 应 用 程序 和 服务 器 之 间 的 交互 具有 客户 端 - 服 务 器 请 求 /响应 风 
格 。 这 条 原则 规定 了 这 个 约束 将 用 户 接 口 相关 部 分 与 数据 存储 相关 部 分 相 分 离 。 这 种 分 离 允 
许 客户 端 和 服务 器 组 件 独 立 演化 并 支持 服务 器 侧 的 功能 移动 到 多 个 平台 。 


无 状态 约束 


该 无 状态 约束 要 求 每 个 来 自 客户 端 到 服务 器 的 请 求 必须 包括 所 有 必需 的 信息 ， 以 理解 该 
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请 求 并 且 不 能 利用 任何 存储 在 服务 器 上 的 上 下 文 。 类 似 地 ， 每 个 来 自 服务 器 的 响应 必须 包含 
所 有 对 该 请 求 希 望 的 信息 。 一 个 后 果 是 事务 的 任何 “记忆 ”都 维持 在 会 话 状 态 中 ， 而 该 会 话 
状态 完全 保持 在 客户 中 。 因 为 服务 器 不 能 保留 客户 状态 的 任何 状态 ， 其 结果 是 SDN 控制 器 
更 为 有 效 。 另 一 个 后 果 是 如 果 客 户 和 服务 器 侧 在 不 同 机 器 上 ， 因 此 经 过 协议 来 通信 ， 该 协议 
不 需要 是 面向 连接 的 。 

REST 通常 运行 在 超 文本 传输 协议 (HTTP) 之 上 ，HTTP 是 一 种 无 状态 协议 。 

高 速 缓存 约束 

高 速 缓存 约束 请 求 在 一 个 对 于 某 请 求 响应 中 的 数据 要 隐 式 或 显 式 地 标记 为 可 高 速 缓存 或 
非 高 速 缓存 的 。 如 果 一 个 响应 是 高 速 缓 存 的 ， 则 客户 高 速 缓存 被 赋予 以 后 能 够 重用 该 响应 数 
据 的 权利 ， 等 价 于 请 求 。 这 就 是 说 ， 赋 予 该 客户 许可 来 记忆 这 个 数据 ， 因 为 该 数据 在 服务 器 
侧 不 可 能 改变 。 因 此 ， 随 后 对 相同 数据 的 请 求 能 够 在 客户 本 地 进行 处 理 ， 从 而 减少 客户 和 服 
务 器 之 间 的 通信 开销 ， 并 且 减 少 了 服务 器 的 处 理 负担 。 

一 致 接口 

无 论 特定 的 客户 端 - 服 务 器 应 用 程序 API 是 否 使 用 REST 实现 ，REST 强调 组 件 之 间 的 
一 致 接口 。 这 使 得 控制 器 服务 独立 进行 演化 ， 并 且 向 SDN 控制 器 提供 商 提供 使 用 来 自 各 种 
各 样 厂商 的 软件 组 件 的 能 力 ， 以 实现 控制 器 。 为 了 获得 一 致 接口 ，REST 定义 了 以 下 4 个 接 
口 约束 。 

e 资源 的 身份 : 各 个 资源 使 用 一 个 资源 标识 符 (例如 一 个 URI) 来 识别 。 

o 通过 描述 操作 资源 : 资源 描述 为 诸如 ISON, XML 或 HTML 等 格式 。 

e 自 描述 报 文 : 每 个 报 文 有 足够 的 信息 来 描述 该 报 文 处 理 的 方式 。 

e 超 媒 体 作为 应 用 程序 状态 的 引擎 : 客户 不 需要 如 何 与 服务 器 进行 交互 的 先 验 知识 ， 因 

为 API 不 是 固定 而 是 动态 地 由 服务 器 提供 。 

REST 风格 强调 客户 与 服务 器 之 间 的 交互 通过 使 用 有 限 数量 的 操作 (动词 ) 得 到 加 强 。 
通过 为 资源 (名词) 分配 它们 自己 唯一 的 统一 资源 标识 符 (URI) 提供 了 灵活 性 。 因 为 每 个 动 
词 具有 特定 的 含义 (GET, POST, PUT 和 DELETE)，REST 避免 了 二 义 性 。 


“统一 资源 标识 符 (URI) 一 种 标识 抽象 或 物理 资源 的 紧凑 字符 序列 。URI 规范 (RFC 
86) 定义 了 一 -种 语法 ， 用 于 对 任意 名 称 或 寻 址 方案 的 编码 并 且 提供 这 些 方案 列表 。 
URL (EAE MAH) URI 的 一 -种 类 型 ， 它 指派 了 一 -种 访问 协议 并 且 提供 了 一 个 特 
P40. ae oe O O 


对 于 SDN 环境 而 言 ， 这 种 约束 的 好 处 在 于 不 同 的 应 用 程序 (也 许 是 用 不 同 的 语言 写成 
AY) 能 够 通过 一 个 REST API 调用 相同 的 控制 器 服务 。 

分 层 的 系统 约束 

该 分 层 的 系统 约束 表明 ， 给 定 的 功能 以 层次 方式 来 组 织 ， 其 中 每 层 只 直接 与 直接 的 上 面 
和 下 面 的 层次 进行 交互 。 对 于 协议 体系 结构 、 操 作 系 统 设计 和 系统 服务 设计 而 言 ， 这 是 标准 
的 体系 结构 方法 。 

按 需 代 码 约束 

REST 允许 通过 下 载 和 执行 Java 程序 或 脚本 代码 来 扩展 客户 功能 。 这 通过 减少 必须 预先 
实现 的 特色 的 数量 简化 了 客户 。 人 允许 在 部 署 后 下 载 特色 改善 了 系统 的 延展 性 。 
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5.4.2 REST API 例子 


为 了 便于 理解 REST API 的 结构 ， 查 看 例子 是 有 用 的 。 在 本 节 中 ， 我们 讨论 SDN 网 络 
操作 系统 Ryu 的 北向 接口 的 REST API。 在 Ryu 中 设计 了 特殊 的 API 交换 机 管理 者 服务 功 
能 ， 以 提供 对 OpenFlow 交换 机 的 访问 。 
交换 机 管理 器 代表 应 用 程序 执行 的 每 个 功能 是 指派 一 个 URI。 例 如 ， 考 虑 这 样 一 个 功能 ， 
获取 一 台 特 定 的 交换 机 的 组 表 中 所 有 表 项 的 描述 。 用 于 这 人 台 交 换 机 的 该 功能 的 URI 如 下 : 
/stats/group/<dpid> 
其 中 统计 (state) 是 指 获 取 和 更 新 交换 机 统计 和 参数 的 API 集 合 ，group (组 ) 是 该 功能 的 
AF, M <dpid> (数据 路 径 ID) 是 该 交换 机 的 独特 标识 符 。 为 了 调用 交换 机 1 的 这 种 功能 ， 
应 用 程序 跨越 REST API 向 交换 机 管理 器 发 出 下 列 命令 : 
GET http://localhost:8080/stats/groupdesc/1 
这 个 命令 的 localhost 部 分 指示 该 应 用 程序 正在 相同 服务 器 上 作为 Ryu NOS 运行 。 如 果 
远 地 运 行 应 用 程序 ， 该 URI 将 是 一 个 URL， 它 提供 经 HTTP 和 Web 服务 的 远 地 访 问 。 该 交 
换 机 管理 器 用 一 条 报 文 响应 这 个 命令 ， 该 报 文 的 报 文 体 包 括 dpid 以 及 一 系列 值 的 块 ， 每 个 
块 对 应 于 定义 在 交换 机 dpid 中 的 每 个 组 。 这 些 值 如 下 所 示 。 
o 类 型 : 全 部 ， 选 择 ， 快 速 故障 转移 或 间接 (参见 4.2 节 )。 
e 组 标识 : 在 组 表 中 的 一 个 表 项 的 标识 符 。 
oH: 由 下 列子 字段 构成 的 一 个 结构 化 的 字段 : 
e 权重 : 桶 的 相对 权重 ( 仅 对 于 选择 类 型 )。 
e 观察 端口 : 其 状态 影响 该 桶 是 否 活 路 的 端口 〈 仅 快速 故障 转移 组 需要 )。 
© WRA: 其 状态 影响 该 桶 是 否 活跃 的 组 ( 仅 快速 故障 转移 组 需要 )。 
e 动作 : 动作 的 列表 ， 可 能 为 空 。 
报 文体 的 桶 部 分 是 重复 的 ， 每 个 组 表 的 表 项 一 次 。 
表 5-2 列 出 了 用 于 检索 交换 机 统计 值 和 参数 的 所 有 API 功能 ， 这 些 统计 值 和 参数 使 用 了 
GET 报 文 类 型 。 也 有 几 个 使 用 POST 报 文 类 型 的 功能 ， 其 中 请 求 报 文体 包括 必须 匹配 的 参 
数列 表 。 
表 5-2 使 用 GET 检索 交换 机 统计 值 的 Ryu REST API 
请 求 类 型 响应 报 文体 属性 
获取 所 有 交换 机 数据 路 径 ID 
获取 交换 机 描述 ee ti Era i 
数据 路 径 D， 该 表 项 的 长 度 ， 表 中 D, 活跃 流 时 间 (单位 为 秒 ), 活跃 流 时 间 (单位 为 

获取 交换 机 的 所 有 流 状态 | 纳 秒 )， 优 先 级 ， 超 时 前 空闲 秒 数 ， 标 志 位 ，cookie， 分 组 计数 ， 字 节 计 数 ， 匹 配 字段 ， 
动作 

获取 交换 机 的 集合 流 状态 | “数据 路 径 ID， 分 组 计数 ， 字 节 计 数 ,， 流 数量 


收 到 分 组 计数 ， 传 输 分 组 计数 ， 接 收 字 节 计数 ， 传 输 字 节 计数 ， 丢 弃 接收 分 组 计数 ， 
丢弃 传输 分 组 计数 ， 接 收 差 错 计数 ， 传 输 差错 计数 ， 帧 同步 差错 计数 ， 接 收 分 组 超越 范 


态 
aiii 围 计数 ，CRC 差错 计数 ， 碰 撞 计 数 ， 端 口 活跃 时 间 (单位 为 秒 )， 端 口 活跃 时 间 (单位 为 
纳 秒 ) 
获取 端口 描述 数据 路 径 ID， 端 口号 ， 以 太 网 地 址 ， 端 口 名 字 ， 配 置 标 志 ， 状 态 标志 ， 当 前 特色 ， 通 


告 的 特色 ， 支 持 的 特色 ， 对 等 方 通告 的 特色 ， 当 前 的 比特 速率 ， 最 大 比特 率 
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(2) 
请 求 类 型 响应 报 文体 属性 
获取 队列 状态 数据 路 径 ID ， 端 口号 ， 队 列 ID ， 传 输 字 节 计数 ， 传 输 分 组 计数 ， 分 组 超越 范围 计数 ， 
活跃 队列 时 间 (单位 为 秒 )， 活 跃 队列 时 间 (单位 为 纳 秒 ) 
获取 组 状态 数据 路 径 ID， 该 表 项 长 度 ， 组 ID， 转 发 到 本 组 的 流 或 组 的 数量 ， 分 组 计数 ， 字 节 计 数 
获取 组 描述 数据 路 径 ID, 组 ID， 桶 〈 权 重 ， 观 察 端口 ， 观 察 组 ， 动 作 ) 
获取 组 特色 数据 路 径 ID， 类 型 ， 能 力 ， 组 最 大 数量 ， 支 持 的 动作 
数据 路 径 ID， 计 量 器 ID ， 该 表 项 的 长 度 ， 流 的 数量 ， 输 入 分 组 计数 ， 输 入 字 节 计数 ， 
获取 计量 器 状态 活跃 计量 器 时 间 (单位 为 秒 )， 活 路 计量 器 时 间 (单位 为 纳 秒 )， 计 量 器 段 (分 组 计数 ， 字 
节 计 数 ) 
获取 计量 器 配置 数据 路 径 ID ， 标 志 ， 计 量 器 ID， 段 (类 型 ， 速 率 ， 突 发 块 长 度 ) 
获取 计量 器 特色 数据 路 径 ID， 计 量 器 的 最 大 数量 ， 段 类 型 ， 能 力 ， 每 个 计量 器 最 大 段 ， 最 大 彩色 值 


这 个 交换 机 管理 者 API 也 提供 更 新 交换 机 参数 的 功能 。 这 些 都 使 用 了 POST 报 文 类 型 。 
在 这 种 情况 下 ， 请 求 报 文体 包括 参数 和 它们 要 被 更 新 的 值 。 表 5-3 列 出 了 更 新 API 的 功能 。 
表 5-3 使 用 POST 更 新 由 字段 过 滤 的 交换 机 统计 值 的 Ryu REST API 


请 求 类 型 响应 报 文体 属性 
数据 路 径 ID cookie, cookie 掩 码 ， 表 ID， 空闲 超时 ， 硬 超时 ， 优 先 级 ， 缓 存 ID ， 标 志 ， 匹 
增加 流 表 项 配 字段 ,动作 
修改 匹配 流 表 项 数据 路 径 ID, cookie, cookie HE15, XID, 空闲 超时 ， 硬 超时 ， 优 先 级 ， 缓 存 ID ， 标 志 ， 匹 
配 字段 ， 动 作 
数据 路 径 ID cookie, cookie 掩 码 ， 表 世 ， 空 闲 超时 ， 硬 超时 ， 优 先 级 ， 缓 存 也， 标志 ， 匹 
删除 匹配 流 表 项 配 字段 ， 动 作 
删除 所 有 流 表 项 数据 路 径 ID 
增加 组 表 项 数据 路 径 ID， 类 型 , AID, Hh (权重 ， 观 察 端口 ， 观 察 组 ， 动 作 ) 
修改 组 表 项 数据 路 径 ID ， 类 型 ， 组 ID, 桶 (权重 ,观察 端口 ， 观 察 组， 动作 ) 
删除 组 表 项 数据 路 径 ID, 组 ID 


增加 计量 器 表 项 数据 路 径 ID， 标 志 ， 计量 ID， 段 (类 型 ， 速 率 ， 突 发 块 长 度 ) 
修改 计量 器 表 项 数据 路 径 ID, RE, HEID, E (类 型 ， 速 率 ， 突 发 块 长 度 ) 
删除 计量 表 项 数据 路 径 ID， 计 量 器 ID 


5.5 控制 器 间 的 合作 和 协调 


除了 北向 接口 和 南 向 接口 之 外 ， 典 型 的 SDN 控制 器 有 一 个 东 向 /西向 接口 ， 该 接口 使 
得 它 能 够 与 其 他 SDN 控制 器 和 其 他 网 络 通信 。 到 现 有 为 止 ， 在 开源 或 标准 化 的 东西 向 接口 
协议 或 接口 方面 还 没有 取得 重要 的 进展 。 本 节 将 回顾 与 东西 向 接口 相关 的 设计 问题 。 


5.5.1 集中 式 与 分 布 式 控制 器 


一 个 关键 的 体系 结构 的 设计 决定 是 使 用 单一 的 集中 式 控制 器 还 是 使 用 分 布 式 的 控制 器 
集合 来 控制 数据 平面 交换 机 。 集 中 式 控 制 器 是 用 单 台 服 务 器 来 管理 网 络 中 的 所 有 数据 平面 
交换 机 。 

在 一 个 大 型 企业 网 中 ， 部 署 单 台 控制 器 来 管理 所 有 网 络 设 备 将 证 明 难 以 操作 或 可 能 带 来 麻 
烦 。 一 个 更 为 可 能 的 场景 是 ， 大 型 企业 或 运营 商 网 络 的 操作 员 将 整个 网 络 划分 为 若干 不 相 重 笃 
的 SDN 域 ， 也 称 为 SDN 岛 (图 5-10 )， 并 使 用 分 布 式 控制 器 来 管理 。 使 用 SDN 域 的 原因 如 下 。 
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o 可 缩 扩 性 : SDN 控制 器 有 能 力 管理 的 设备 数量 是 有 限 的 。 因 此 ， 一 个 相当 大 的 网 络 
可 能 需要 部 署 多 台 SDN 控制 器 。 

e 可 靠 性 : 使 用 多 人 台 控 制 器 避免 单 点 故障 的 风险 。 

e 隐私 : 运营 商 在 不 同 的 SDN 域 中 可 以 选择 实现 不 同 的 隐私 策略 。 例 如 ， 一 个 SDN 
域 可 以 专用 于 某 用 户 集合 ， 他 们 实现 其 自己 的 高 度 定 制 的 隐私 策略 ， 要 求 在 该 域 中 
的 某 些 网 络 信息 〈 例 如 网 络 拓扑 ) 不 应 当 暴 露 给 外 部 实体 。 

。 增 量 部 署 : 某 运 营 商 的 网 络 可 能 由 遗留 部 分 和 非 遗留 基础 设施 组 成 。 将 网 络 划 分 为 
多 个 独自 可 管理 的 SDN 域 ， 允 许 灵 活 地 增 量 部 署 。 


SDN 域 控制 器 东西 向 协议 ”SDN 域 控制 器 
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图 5-10 SDN 域 结构 


分 布 式 控制 器 可 以 在 小 区 域 中 配置 ， 或 分 布 范 围 很 广 ， 也 可 以 是 两 者 的 结合 。 紧 密 放置 
的 控制 器 可 提供 高 吞吐 量 ， 适 合用 于 数据 中 心 ， 而 分 散 的 控制 器 适合 于 覆盖 较 大 区 域 的 网 络 。 

控制 器 通常 水 平方 向 分 布 。 这 就 是 说 ， 每 个 控制 器 管理 数据 平面 交换 机 的 一 个 不 相 重 笃 
子 集 。 垂 直 体 系 结构 也 是 可 能 的 ， 其 中 控制 任务 分 发 到 不 同 的 控制 器 ， 这 取决 于 网 络 视图 和 
位 置 需求 等 规则 。 

在 分 布 式 体系 结 构 中 ， 控 制 器 之 间 通 信 需 要 一 个 协议 。 原 则 上 ， 为 此 目的 能 够 使 用 一 个 
专用 的 协议 ， 尽 管 开放 的 或 标准 的 协议 对 于 互 操作 性 显然 更 为 合适 。 

对 于 分 布 式 体系 结构 ， 与 东西 向 接口 关联 的 功能 包括 维护 网 络 拓扑 和 参数 的 部 分 或 重复 
的 数据 库 ， 以 及 监视 /通告 功能 。 监 视 / 通 告 功能 包括 检查 一 个 控制 器 是 否 是 活跃 的 ， 并 协 
调 交 换 机 在 控制 器 之 间 的 分 配 等 。 


5.5.2 ”高 可 用 性 的 集群 


在 单一 域 中 ， 控 制 器 的 功能 能 够 在 一 个 高 可 用 性 的 集群 上 实现 。 通 常 ， 将 有 两 个 或 更 多 
个 共享 一 个 IP 地 址 的 结 点 能 被 外 部 系统 所 使 用 ， 这 些 外 部 系统 通过 北向 接口 或 南 向 接口 来 
访问 该 集群 。 一 个 例子 是 IBM SDN 虚拟 环境 产品 ， 它 就 使 用 了 两 个 结 点 。 为 了 数据 复制 和 
共享 外 部 IP 地 址 ， 每 个 结 点 被 认为 是 集群 中 其 他 结 点 的 对 等 方 。 当 高 可 用 性 的 集群 运行 时 ， 
主 结 点 负责 响应 被 发 送 到 集群 外 部 IP 地 址 的 所 有 流量 并 且 保 存 配置 数据 的 读 / 写 拷贝 。 与 
此 同时 ， 第 二 个 结 点 作为 备份 运行 ， 具 有 一 份 配置 数据 的 只 读 拷 贝 ， 它 保持 了 当前 主 结 点 的 
拷贝 。 从 结 点 监视 外 部 IP 的 状态 。 如 果 从 结 点 确定 主 结 点 不 再 响应 外 部 耻 了 ， 它 会 触发 失 
效 备 援 ， 将 其 模式 改变 为 从 结 点 模式 。 它 假定 具有 响应 外 部 IP 和 将 其 配置 数据 的 拷贝 改变 
为 读 / 写 的 责任 。 如 果 先 前 的 主 结 点 重新 创建 连接 ， 自 动 还 原 过 程 触发 器 以 将 旧 的 主 结 点 转 
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换 为 从 状态 ,使 得 在 故障 备 援 期 间 的 配置 改变 不 会 丢失 。 


高 可 用 性 ( HA) 的 集群 PAE A E T a 
AM AAS RRA RSRAORS. RARBA NATE PHAT LAR, L 
消除 单 点 故障 ， 并 且 它们 能 够 包含 多 重 网 络 连接 ， 仙人 ,下 
备份 组 件 及 能 力 。 | 


ODL Helium 内 置 了 高 可 用 性 ，Cisco XNC 和 Open Network 控制 器 都 有 高 可 用 性 特色 
(在 一 个 集群 中 有 多 达 5 MAA). 


5.5.3 ”联邦 的 SDN 网 络 


在 上 一 段 中 讨论 的 分 布 式 SDN 体系 结构 引用 了 一 个 多 SDN 域 的 系统 ， 这 些 域 是 一 个 企 
业 网 络 的 所 有 部 分 。 这 些 域 可 能 是 并 置 排列 或 在 单独 的 站 点 上 。 在 每 种 场合 ， 所 有 数据 平面 
交换 机 的 管理 都 在 单一 网 络 管理 功能 的 控制 之 下 。 

对 于 由 不 同 的 组 织 所 拥有 和 管理 的 SDN 网络， 使 用 东西 向 协议 协作 也 是 可 能 的 。 
图 5-11 是 一 个 SDN 控制 器 之 间 协 作 的 可 能 例子 。 


“移动 终端 
“小 办 公 室 /家 庭 
办 公 室 


“总 部 





图 5-11 SDN 控制 器 的 联邦 
在 这 个 配置 中 ， 提 供 基 于 云 服务 的 数据 中 心 网 络 有 若干 服务 消费 者 。 通 常 ， 如 前 面 的 
图 1-3 所 示 ， 消 费 者 通过 接 人 网 、 分 布 网 和 核心 网 的 层次 结构 与 服务 网 络 连接 。 这 些 中 间 网 
络 都 可 能 通过 数据 中 心 网 络 运行 ， 或 者 它们 涉及 其 他 组 织 机 构 。 在 后 一 种 情况 下 ， 如 果 所 有 
网 络 都 实现 SDN， 它 们 需要 共享 共同 的 规则 以 共享 控制 平面 的 参数 ， 诸 如 服务 质量 (Qos), 
策略 信息 和 路 由 信息 。 


5.5.4 边界 网 关 协 议 

在 继续 讨论 之 前 ， 概 述 一 下 边界 网 关 协 议 (BGP) 是 有 用 的 。 研 制 BGP 用 于 连接 互联 
网 ， 而 互联 网 使 用 TCP/IP 协议 栈 ， 尽 管 这 些 概念 适用 于 任何 互联 网 。BGP 已 经 成 为 因特网 
首选 的 外 部 路 由 器 协议 (ERP). 


外 部 路 由 器 协议 (ERP) 一 个 专用 术语 ， 以 描述 向 连接 自治 系统 的 合作 路 由 器 分 发 
路 由 选择 信息 的 协议 。 r 


BGP 使 得 位 于 不 同 自治 系统 的 路 由 器 可 以 相互 协作 并 交换 路 由 信息 ， 这 里 的 路 由 器 在 
标准 规范 中 也 称 为 网 关 。 该 协议 利用 消息 来 运转 ， 并 通过 TCP 连接 进行 发 送 。BGP 的 当前 
版 本 称 为 BGP-4。 
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BGP 专注 于 三 个 功能 性 过 程 : 

e 邻居 获取 

e 邻居 可 达 性 

e 网 络 可 达 性 

如 果 两 台 路 由 器 与 相同 的 网 络 或 通信 和 链 路 连接 ， 它 们 会 被 认为 是 邻居 。 如 果 它 们 与 相同 
的 网 络 连接 ， 邻 居 路 由 器 之 间 的 通信 可 能 要 求 通过 在 共享 网 络 之 中 的 其 他 路 由 器 的 一 条 路 
径 。 如 果 两 台 路 由 器 在 不 同 的 自治 系统 中 ， 它 们 可 能 要 交换 路 由 选择 信息 。 为 此 目的 ， 首 先 
必须 要 执行 邻居 获取 (neighbor acquisition)。 术 语 邻 居 (neighbor) 是 指 共享 相同 网 络 的 两 
台 路 由 器 。 大 体 上 说 ， 当 在 不 同 自治 系统 中 的 相 邻 路 由 器 同意 有 规律 地 交换 路 由 选择 信息 
时 ， 发 生 邻 居 获 取 。 因 为 路 由 器 之 一 可 能 不 愿意 参与 其 中 ， 因 此 需要 一 个 正式 的 获取 过 程 。 
例如 ， 某 台 路 由 器 可 能 负担 过 重 ， 并 且 不 希望 负责 来 自 AS 外 部 的 流量 。 在 这 样 的 邻居 获取 
过 程 中 ,一 台 路 由 器 向 另 一 台 发 送 一 个 请 求 报 文 ， 而 另 一 台 可 以 接受 或 拒绝 该 提议 。 该 协议 
不 处 理 一 台 路 由 器 如 何 知 道 另 一 台 路 由 器 的 地 址 或 者 甚至 存在 的 问题 ， 也 不 处 理 它 如 何 决定 
它 需 要 与 特定 路 由 器 交换 路 由 选择 信息 的 问题 。 这 些 问 题 必 须 在 配置 阶段 或 通过 网 络 管理 员 
的 介入 得 到 处 理 。 

为 了 完成 邻居 获取 ， 一 台 路 由 器 向 男 一 台 路 由 器 发 送 一 个 Open 报 文 。 如 果 目 标 路 由 器 
接受 该 请 求 ， 它 会 返回 一 个 Keepalive 报 文 作为 响应 。 

一 旦 创建 了 邻居 关系 ， 邻 居 可 达 性 (neighbor reachability) 过 程 用 于 维护 这 种 关系 。 每 
个 搭档 需要 确定 其 他 搭档 仍然 存在 并 且 仍 然 在 参与 它们 的 邻居 关系 。 为 此 目的 ， 这 两 台 路 由 
器 周期 性 地 向 彼此 发 送 Keepalive 报 文 。 

BGP 指定 的 最 后 一 个 过 程 是 网 络 可 达 性 (network reachability)。 每 台 路 由 器 维持 一 个 数 
据 库 ， 该 库 包 括 能 够 到 达 的 网 络 和 到 达 每 个 网 络 的 优先 路 由 信息 。 如 果 该 数据 库 发 生变 化 ， 
路 由 器 会 发 出 一 个 Update 报 文 ， 该 报 文 向 它 具 有 邻居 关系 的 所 有 其 他 路 由 器 进行 广播 。 因 
为 广播 了 该 Update RX, MA BGP 路 由 器 都 能 够 构建 和 维护 它们 的 路 由 选择 信息 。 


5.5.5 域 间 的 路 由 选择 和 QoS 


对 于 控制 器 域 以 外 的 路 由 选择 ， 该 控制 器 域 与 每 个 相 邻 路 由 器 创建 一 条 BGP 连接 。 
5-12 显示 了 具有 两 个 SDN 域 的 一 种 配置 ， 这 两 个 SDN 域 仅 通过 一 个 非 SDN 自治 系统 进 
行 链 接 。 
在 非 SDN 自治 系统 中 ， 内 部 路 由 选择 使 用 OSPF。 在 SDN 域 中 不 需要 OSPF; 相反 ， 
每 个 数据 平面 交换 机 使 用 南 向 接口 协议 (在 这 种 场合 是 OpenFlow) 向 集中 式 控制 器 报告 必 
需 的 路 由 选择 信息 。 在 每 个 SDN 域 和 AS 之 间 ， 使 用 BGP 来 交换 如 下 信息 。 
e 可 达 性 更 新 : 可 达 性 信息 的 交换 促进 了 SDN 域 间 的 路 由 选择 。 这 人 允许 单 流 流 经 多 个 
SDN 并 且 每 个 控制 器 能 够 选择 网 络 中 最 适当 的 路 径 。 

© 流 建立 、 拆 除 和 更 新 请 求 : 控制 器 协同 流 建立 请 求 ， 这 些 请 求 包 括 路 径 要 求 、QoS 
等 信息 ， 跨 越 多 个 SDN 域 。 

e 能 力 更 新 : 控制 器 交换 网 络 相关 能 力 的 信息 ， 如 带宽 、QoS 等 ， 除 了 系统 和 域内 可 
用 的 软件 能 力 外 。 

对 于 图 5-12， 值 得 关注 的 其 他 几 个 地 方 有 。 

e 图 中 将 AS 描述 为 一 个 包括 多 台 互 联 路 由 器 的 云 ， 在 SDN 域 的 场合 ， 包 括 一 台 控 制 
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器 。 该 云 表 示 一 个 互联 网 ， 因 此 任何 两 台 路 由 器 之 间 的 连接 是 互联 网 中 的 一 个 网 络 。 
类 似 地 ， 两 个 邻接 自治 系统 之 间 的 连接 是 一 个 网 络 ， 该 网 络 可 能 是 两 个 邻接 自治 系 
统 之 一 的 一 部 分 ， 或 者 是 一 个 单独 的 网 络 。 

对 于 一 个 SDN 域 ，BGP 功能 实现 在 SDN 控制 器 中 而 不 是 在 数据 平面 路 由 器 中 。 这 
是 因为 控制 器 负责 管理 拓扑 和 做 出 路 由 选择 决定 。 

该 图 显示 了 自治 系统 1 和 自治 系统 3 之 间 的 一 条 BGP 连接 。 这 可 能 是 不 直接 通过 单 
一 的 网 络 直接 连接 的 网 络 。 然 而 ， 如 果 两 个 SDN 域 是 一 个 单一 SDN 系统 的 一 部 分 ， 
或 者 如 果 它 们 结 成 联邦 ， 它 们 可 能 具有 交换 其 他 的 SDN 相关 信息 的 愿望 。 


自治 系统 2 





pe > OpenFlow 
<----» BGP 


自治 系统 1 自治 系统 3 
图 5-12 具有 OpenFlow 域 和 非 OpenFlow 域 的 异 构 自 治 系统 


5.5.6 为 QoS 管理 使 用 BGP 


一 种 AS 间 互 联 流行 的 方式 仅 是 采用 尽力 而 为 互联 。 这 就 是 说 ， 在 自治 系统 之 间 转 发 流 
量 不 顾及 流量 类 型 的 差异 并 且 没 有 任何 转发 保证 。 网 络 运营 商 常用 的 方法 是 在 AS 人 口 路 由 
器 中 将 任何 IP 分 组 流量 类 型 标记 重 置 为 0，0 为 尽力 而 为 标记 ， 以 消除 任何 流量 差异 。 某 些 
提供 商 在 人 口 完成 较 高 层次 的 分 类 ， 以 顾及 转发 要 求 和 匹配 它们 的 AS 内 部 的 QoS 转发 策 
略 。 对 于 跨越 流量 而 言 没有 什么 可 以 依靠 : 标准 的 类 别 集合 ， 标 准 的 标记 (类 型 编码 ) 和 标 
准 的 转发 行为 。 然 而 ，RFC 4594 (Diff Serv 服务 类 的 配置 指南 ，2006 年 8 A) 提供 相对 于 
这 些 参 数 的 一 系列 “最 优 方法 "。 各 网 络 提供 商 独 立地 、 以 不 协同 的 方式 采用 QoS 策略 决定 。 
这 种 一 般 的 陈述 不 覆盖 现存 的 单独 协议 ,这些 协议 提供 了 有 具有 严格 QoS 保证 的 基于 质量 的 
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互联 。 然 而 ， 这 种 基于 服务 等 级 约定 (SLA) 的 约定 具有 双边 或 多 边 性 质 ， 并 且 不 能 提供 一 
种 用 于 通用 的 “好 于 尽力 而 为 ”互联 的 手段 。 

IETF 当前 正在 致力 于 用 于 BGP 的 QoS 标记 的 标准 化 方法 (用 于 QoS 标记 的 BGP 扩展 
社区 ，draft-knoll-idr-qos-attribute-12, July 10, 2015 )。 与 此 同时 ，SDN 提供 商 已 经 实现 了 他 
们 自己 使 用 BGP 可 扩展 性 质 的 能 力 。 在 每 种 场合 ， 在 不 同 域 的 SDN 控制 器 之 间 的 互联 涉及 
图 5-13 中 图 示 的 步骤 并 如 下 描述 。 

1) SDN 控制 器 必须 配置 有 BGP 能 力 并 且 具 有 相 邻 BGP 实体 位 置 的 信息 。 

2 ) 控制 器 中 的 启动 或 活化 事件 触发 BGP。 

3 ) 该 控制 器 中 的 BGP 实体 试图 与 每 个 相 邻 的 BGP 实体 创建 一 条 TCP 连接 。 

4) 一 旦 创建 一 条 TCP 连接， 该 控制 器 的 BGP 实体 与 其 邻居 交换 Open 报 文 。 使 用 该 
Open 报 文 来 交换 能 力 信息 。 

5 ) 交换 完成 一 条 BGP 连接 。 

6 ) 使 用 Update 报 文 来 交换 NLRI (网 络 层 可 达 性 信息 )， 以 指示 经 过 该 实体 哪些 网 络 是 
可 达 的 。 在 选择 SDN 控制 器 之 间 最 适合 的 数据 路 径 时 使 用 可 达 性 信息 。 通 过 NLRI 参数 获 
得 的 信息 被 用 于 更 新 控制 器 的 路 由 选择 信息 库 (RIB)。 这 进而 使 得 控制 器 在 数据 平面 交换 机 
中 设置 适当 的 流 信 息 。 

7) Update 报 文 能 够 被 用 于 交换 QoS 信息 ， 例 如 可 用 的 能 力 。 

8) 当 基 于 BGP 过 程 决定 有 多 条 路 径 可 用 时 ， 进 行路 由 选择 。 一 旦 创建 该 路 径 ， 分 组 能 
够 在 两 个 SDN 域 之 间 成 功 穿越 。 
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5-13 ”东西 向 连接 创建 、 路 由 和 流 建立 


5.5.7 IETF SDNi 
IETF 已 经 研发 了 规范 草案 ， 称 之 为 SDNi (《 SDNi : 用 于 跨越 多 域 的 软件 定义 网 络 的 报 
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文 交 换 协 议 》 draft-yin-sdn-sdni-00.txt, June 27, 2012 )， 其 中 定义 了 跨越 多 个 域 协同 流 建立 
和 交换 可 达 性 信息 。 该 SDNi 规范 并 没有 定义 东西 向 SDN 协议 ， 而 是 提供 了 某 些 用 于 研发 
这 样 一 个 协议 的 基本 原则 。 
如 同 在 该 文档 中 所 定义 ，SDNi 功能 包括 下 列 内 容 : 
e 协同 由 应 用 程序 所 发 起 的 流 设置 ， 包 含 诸如 跨越 多 个 SDN 域 的 路 径 要 求 、QoS 和 服 
务 等 级 约定 。 
e 交换 可 达 性 信息 来 为 SDN 间 路 由 选择 带 来 便利 。 这 将 允许 一 条 单一 的 流 穿越 多 个 
SDN， 当 有 多 条 路 径 可 用 时 ， 每 个 控制 器 能 选择 最 为 适合 的 路 径 。 
© SDNi 依赖 于 可 用 资源 的 类 型 和 每 个 域 中 不 同 的 控制 器 可 用 和 管理 的 能 力 。 因 此 ， 以 
1 描述 性 和 开放 的 方式 实现 SDNi， 支 持 由 不 同类 型 的 控制 器 提供 的 新 能 力 是 很 重要 
140 的 。 因 为 SDN 本 质 上 人 允许 进行 创新 ， 在 控制 器 之 间 交 换 数据 是 动态 的 非常 重要 ; 也 
就 是 说 ， 应 当 存在 某 些 元 数据 交换 允许 SDNi 就 未 知 能 力 交 换 信息 。 
用 于 SDNi 试验 性 的 报 文 类 型 包括 : 
e 可 达 性 更 新 。 
o 流 建立 /拆除 /更 新 请 求 (包括 诸如 QoS、 数 据 率 、 时 延 等 应 用 程序 能 力 要 求 )。 
o 能 力 更 新 (包括 网 络 相 关 能 力 ， 如 数据 率 和 QoS， 以 及 域内 可 用 的 系统 和 软件 能 力 )。 


5.5.8 OpenDaylight SDNi 


包括 在 OpenDaylight 体系 结构 中 的 是 一 种 SDNi 能 力 ， 该 能 力 用 于 连接 网 络 中 的 多 个 
OpenDaylight 联邦 控制 器 ， 并 共享 拓扑 信息 。 这 种 能 力 看 起 来 与 ITF 对 于 SDNi 功能 的 规 
范 兼容 。 如 图 5-14 所 示 ， 可 部 署 于 OpenDaylight 控制 器 的 SDNi 应 用 程序 是 由 三 个 组 件 构 
成 的 ， 描 述 如 下 。 











OpenFlow Open 虚拟 5 
使 能 设备 交换 机 


mace 


图 5-14 OpenDaylight 结构 〈 氨 版 本 ) 中 的 SDNi 组 件 
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e SDNi 汇聚 器 : 北向 SDNi 插件 充当 汇聚 器 ， 收 集 如 拓扑 、 统 计 信息 和 主机 标识 符 等 
网 络 信息 。 该 插件 能 够 演变 ， 以 满足 对 要 求 共 享 跨越 联邦 SDN 控制 器 的 网 络 数 据 的 
需求 。 141 
e SDNi REST API: SDNi REST API 从 北向 插件 (SDNi 汇聚 器 ) 获取 到 汇聚 的 信息 。 
e SDNi 封装 程序 : SDNi BGP 封装 程序 负责 共享 和 收集 来 自 /去 往 联 邦 控制 器 的 信息 。 
图 5-15 显示 了 组 件 的 关系 ， 用 以 更 为 详细 地 观察 SDNi 封装 程序 。SDNi 汇聚 器 经 过 
REST API 代表 请 求 ， 从 基本 网 络 服务 功能 中 收集 状态 和 参数 。 该 封装 程序 的 核心 是 边界 网 
关 协 议 (BGP) 的 OpenDaylight 实现 。BGP 是 一 个 ERP、 适 合 在 连接 SDN 域 的 路 由 器 之 间 
交换 路 由 选择 信息 。 


SDNi 封装 程序 


Nye hg Ei 





图 5-15 OpenDaylight SDNi 封装 程序 142 

56 重要 术语 

学 完 本 章 ， 你 应 当 能 够 定义 下 列 术语 。 

边界 网 关 协 议 (BGP) 邻居 获取 

OpenDaylight SDN 控制 平面 

集中 式 控制 器 邻居 可 达 性 

OpenFlow SDNi 

分 布 式 控制 器 网 络 操作 系统 (NOS ) 

表述 性 状态 转移 (REST) 服务 抽象 层 (SAL) 

东西 向 接口 网 络 可 达 性 

表述 性 状态 转移 风格 南 向 接口 

外 部 路 由 器 协议 (ERP) 北向 接口 


路 由 选择 统一 资源 标识 符 (URI) 
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内 部 路 由 器 协议 (IRP) 开放 服务 网 关 提 案 (OSGi) 
Ryu 
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SDN 应 用 平面 





现代 人 正 逐 渐 依 赖 越 来 越 多 的 技术 通信 手段 ， 没 有 这 些 技术 手段 的 协助 ， 现 代 
都 市 无 法 存在 ， 因 为 它们 是 进行 贸易 和 商业 活动 的 唯一 方法 。 货 物 和 服务 可 以 运送 
到 任何 有 需要 的 地 方 ， 铁 路 可 以 准时 调度 ， 法 律 和 秩序 得 到 了 维护 ， 教 育 也 得 以 存 
在 。 通 信 技 术 让 社交 生活 变 为 可 能 ， 交 往 则 意味 着 城市 的 组 织 结构 。 

一 一 《人 际 交 往 》 Colin Cherry 


本 章 目 标 

学 完 本 章 后 ， 你 应 当 能 够 : 

。 概述 SDN 应 用 平面 体系 结构 。 

© 定义 网 络 服务 抽象 层 。 

o 列举 和 解释 SDN 中 3 种 不 同形 式 的 抽象 。 

o 列举 和 说 明 SDN 6 个 主要 的 应 用 领域 。 

软件 定义 网 络 ( SDN) 方法 对 网 络 的 作用 在 于 它 为 网 络 应 用 提供 了 对 网 络 行为 进行 监视 
和 管理 的 技术 支持 ，SDN 控制 平面 所 提供 的 功能 和 服务 则 使 得 网 络 应 用 能 够 方便 地 实现 快 
速 开发 和 部 署 。 

虽然 SDN 的 数据 平面 和 控制 平面 已 经 进行 了 良好 的 定义 ,但 是 对 应 用 平面 的 本 质 及 其 
范畴 尚未 完全 达成 一 致 。 在 最 小 范畴 定义 下 ， 应 用 平面 包含 各 种 网 络 应 用 ， 这 些 应 用 专门 用 
于 对 网 络 进行 管理 和 控制 。 但 是 目前 仍然 没有 公认 的 这 类 应 用 集合 ， 甚 至 是 这 类 应 用 的 分 类 
方法 。 此 外 ， 应 用 层 还 可 以 包括 通用 的 网 络 抽象 工具 和 服务 ， 它 们 也 可 以 看 做 是 控制 平面 功 
能 的 一 部 分 。 

针对 上 述 局 限 ， 本 章 对 SDN 应 用 平面 进行 了 总 体 概 述 。6.1 节 介 绍 了 SDN 应 用 平面 的 
体系 结构 ，6.2 节 介 绍 了 体系 结构 中 的 主要 构成 一 一 网 络 服务 抽象 展 ， 剩 下 几 节 介绍 了 SDN 
所 支持 的 6 大 应 用 领域 ， 还 给 出 了 一 些 相 关 的 例子 ， 这 些 例子 的 目的 是 让 读者 感受 到 能 从 
SDN 基础 设施 获 益 的 应 用 范围 。 


6.1 SDN 应 用 平面 体系 结构 


应 用 平面 包括 应 用 和 服务 ， 它 们 对 网 络 资源 和 行为 进行 定义 、 监 视 和 控制 。 这 些 应 用 通 
应 用 一 控制 接口 与 SDN 的 控制 平面 进行 交互 ， 从 而 使 得 SDN 控制 层 自动 地 定制 网 络 资源 
A pe et ee 
用 一 控制 接口 的 信息 和 数据 模型 获取 的 。 
本 节 对 应 用 平面 功能 进行 概述 ， 具体 如 图 6-1 所 示 ， 图 中 的 各 个 元 素 会 以 自 底 向 上 的 方 
式 逐 一 进行 分 析 ， 在 后 续 几 节 还 会 介绍 特定 应 用 领域 的 一 些 细节 。 
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6.1.1 北向 接口 

第 5 章 介绍 过 ， 北 向 接口 使 应 用 可 以 oe fr 
在 不 需要 了 解 底层 网 络 交换 机 组 节 的 情况 
下 访问 控制 平面 的 功能 和 服务 。 通 常 来 说 ， 

Ò AED RA 心 
北向 接口 提供 了 由 SDN EEA LRP 
能 控制 的 网 络 资源 的 抽象 视图 。 STEE 

流量 工程 测量 与 监视 安全 与 可 靠 性 
ee 
= A Ss | 


也 可 以 是 远 端 的 。 对 于 本 地 接口 来 说 ， 
SDN 应 用 与 控制 平面 的 软件 (控制 器 网 络 
操作 系统 ) 运行 在 相同 的 服务 器 上 ， 此 外 ， 
应 用 也 可 以 运行 在 远 端的 系统 上 ， 这 时 北 三 
向 接口 就 成 为 应 用 访问 位 于 中 央 服 务 器 的 图 6-1 SDN 应 用 平面 功能 和 接口 
控制 器 网 络 操作 系统 (NOS) 的 协议 或 应 用 程序 编程 接口 (API) 。 这 两 种 架构 都 可 以 实现 实 
际 的 部 署 。 

一 个 北向 接口 的 例子 是 REST 的 API， 它 用 于 与 Ryu 的 SDN 网 络 操作 系统 进行 交互 ， 
具体 参见 5.4 节 。 


6.1.2 网络 服务 抽象 层 


RFC 7426 对 控制 平面 和 应 用 平面 之 间 的 网 络 服务 抽象 层 进行 了 定义 ， 并 将 其 描述 为 提 
供 服务 抽象 的 层次 ， 应 用 和 服务 可 以 有 效 利用 这 些 服务 抽象 。 该 层次 还 提出 了 以 下 几 个 功能 
概念 : 
© 该 层 可 以 提供 网 络 资源 的 抽象 视图 ， 从 而 隐藏 底层 数据 平面 设备 的 具体 细节 。 
e 该 层 可 以 提供 控制 平面 功能 的 整体 视图 ， 这样 应 用 可 以 在 多 种 控制 器 网 络 操作 系统 
上 运行 。 
© 该 层 的 功能 与 管理 程序 或 虚拟 机 监视 器 功能 非常 类 似 ， 它 将 应 用 从 底层 操作 系统 和 
底层 硬件 中 分 离 出 来 。 
© 该 层 可 以 提供 网 络 虚拟 化 功能 ， 从 而 可 以 允许 有 不 同 的 底层 数据 平面 基础 设施 视图 。 
网 络 服务 抽象 层 或 许可 以 被 认为 是 北向 接口 的 一 部 分 ， 因 为 它 在 功能 上 对 控制 平面 和 应 
用 平面 进行 了 整合 。 
许多 已 经 提出 的 机 制 可 以 归 人 这 一 层次 ， 对 其 进行 全 面 介绍 超出 了 本 书 讨论 的 范围 ，6.2 
节 会 给 出 几 个 具体 的 例子 ， 以 帮助 读者 更 好 地 理解 。 


6.1.3 网络 应 用 

目前 实现 了 许多 SDN 网 络 应 用 ， 不 同 的 SDN 综述 列 出 了 不 同 的 SDN 应 用 清单 ， 甚 至 
其 中 有 些 SDN 网 络 应 用 的 分 类 方式 也 不 相同 ， 图 6-1 包括 6 类 主要 的 SDN 应 用 ， 后 面 几 节 
将 会 对 每 类 应 用 进行 概述 。 
6.1.4 ”用 户 接 口 

用 户 接口 使 得 用 户 可 以 对 SDN 应 用 的 参数 进行 配置 ， 也 可 以 支持 与 应 用 进行 交互 。 用 
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户 接口 也 有 两 类 ， 与 SDN 应 用 服务 器 (包括 或 不 包括 控制 平面 ) 位 于 相同 设备 上 的 用 户 可 
以 使 用 服务 器 的 键盘 / 显示 器 来 操作 ， 但 通常 情况 是 用 户 通过 网 络 或 通信 设施 登录 应 用 服务 
器 来 操作 。 


6.2 网 络 服务 抽象 层 


在 此 讨论 的 背景 中 ,抽象 (abstraction) 是 指 与 底层 模型 相关 且 对 高 层 可 见 的 细节 量 ， 
更 多 的 抽象 意味 着 更 少 的 细节 ， 而 更 少 的 抽象 表示 更 多 的 细节 。 抽 象 层 (abstraction layer) 
是 将 高 层 要 求 转换 为 底层 完成 这 些 要 求 需要 的 命令 的 机 制 ，API 就 是 这 样 一 种 机 制 ， 它 屏蔽 
了 低层 抽象 的 实现 细节 ， 使 其 不 会 被 高 层 软 件 破坏 。 网 络 抽象 表示 网 络 实体 (例如 交换 机 、 
链 路 、 端 口 和 流 ) 的 基本 属性 或 特征 ， 它 是 一 种 让 网 络 程序 只 需要 关注 想 要 的 功能 而 不 用 纺 
程 实现 具体 动作 的 方法 。 


6.2.1 SDN 中 的 抽象 


Scott Shenker 是 开放 网 络 基金 会 (ONF ) 董事 会 成 员 和 OpenFlow 研究 学 者 ， 他 在 文献 
[SHEN11] 中 指出 SDN 可 以 由 3 个 基本 抽象 来 定义 : 转发 、 分 发 和 规范 。 具 体 如 图 6-2 所 示 ， 
我 们 接 下 来 对 它们 进行 介绍 。 





图 6-2 SDN 体系 结构 和 抽象 
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转发 抽象 

转发 抽象 (参见 4.1 节 和 4.2 节 ) 允许 控制 程序 指定 数据 平面 的 转发 行为 ， 同 时 隐藏 底 
层 交 换 机 硬件 的 细节 ， 这 种 抽象 支持 数据 平面 转发 功能 ， 它 通过 从 转发 硬件 抽象 出 来 从 而 提 
供 灵 活性 和 厂商 独立 性 。 

OpenFlow 的 API 就 是 一 个 转发 抽象 的 例子 。 

分 发 抽象 

分 发 抽象 源 自 于 分 布 式 的 控制 器 背景 环境 ， 相 互 协作 的 分 布 式 控 制 器 集合 通过 网 络 保存 
网 络 和 路 由 的 状态 描述 ， 这 种 全 网 分 布 式 状态 可 能 会 导致 分 离 的 数据 集 或 者 数据 集 副本 ， 控 
制 器 实例 之 间 需 要 交换 路 由 信息 或 者 对 数据 集 进行 复制 ， 因 此 控制 器 必须 相互 协作 来 维护 全 
局 网 络 的 一 致 性 视图 。 

该 抽象 的 目标 是 隐藏 复杂 的 分 布 式 机 制 (当前 用 在 许多 网 络 中 )， 并 将 状态 管理 从 协议 
设计 和 实现 中 分 离 出 来 。 它 可 以 采用 有 注释 的 网 络 图 提供 一 个 简单 一 致 的 全 局 网 络 视图 ， 这 
些 都 是 通过 API 实现 ， 并 用 于 进行 网 络 控制 。 这 样 一 种 抽象 的 具体 实现 是 网 络 操作 系统 ， 
例如 OpenDaylight 和 Ryu. 

规范 抽象 

分 发 抽象 提供 了 网 络 的 全 局 视图 ， 无 论 网 络 中 有 一 个 中 央 控 制 器 还 是 有 多 个 相互 协作 的 
控制 器 ， 而 规范 抽象 则 提供 了 全 局 网 络 的 抽象 视图 ， 该 视图 只 为 应 用 提供 足够 的 细节 来 指定 
目标 ， 例 如 路 由 选择 或 者 安全 策略 ， 而 没有 提供 需要 用 来 实现 该 目标 的 信息 。Shenker 教授 
在 文献 [SHEN11] 中 对 这 些 抽象 进行 了 如 下 总 结 。 

e 转发 接口 : 向 高 层 屏蔽 转发 硬件 的 抽象 转发 模型 。 

e 分 发 接口 : 向 高 层 屏蔽 状态 分 发 /采集 的 全 局 网 络 视图 。 

o 规范 接口 : 向 应 用 程序 屏蔽 物理 网 络 细节 的 抽象 网 络 视图 。 

图 6-3 是 一 个 规范 抽象 的 例子 ， 其 中 物 
理 网 络 是 一 组 互联 的 SDN 数据 平面 交换 机 ， 
抽象 视图 是 一 个 虚拟 交换 机 ， 物 理 网 络 可 以 
由 一 个 SDN 域 构成 ， 边 缘 交 换 机 与 其 他 域 及 
主机 相连 的 端口 映射 到 虚拟 交换 机 的 端口 上 。 
在 应 用 层 可 以 运行 相应 模块 来 学 习 主 机 的 
MAC 地 址 ， 当 一 个 之 前 未 知 的 主机 发 送 了 
一 个 分 组 ， 应 用 模块 会 将 该 地 址 与 输入 端口 
关联 起 来 ， 并 将 后 续 发 送 给 该 主机 的 流量 引 
导 到 相应 端口 上 。 类 似 地 ， 当 一 个 分 组 到 达 
虚拟 交换 机 的 端口 上 且 它 的 目的 地 址 未 知 时 ， 
该 模块 会 将 分 组 洪 泛 到 所 有 输出 端口 ， 抽 象 
层 会 将 这 些 动作 转译 为 整个 物理 网 络 的 动作 ， 
并 在 域内 进行 内 部 转发 。 


6.2.2 Frenetic 


网 络 服务 抽象 层 的 一 个 例子 是 Frenetic 编 
程 语言 。Frenetic 让 网 络 管理 员 可 以 对 网 络 进 ”图 6-3 交换 机 进行 MAC 地 址 学 习 的 虚拟 化 实例 
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行 编程 ， 从 而 取代 传统 对 各 个 网 络 设备 进行 手工 配置 的 工作 ，Frenetic 的 设计 目的 是 解决 使 用 基 
于 OpenFlow 的 模型 与 网 络 层 抽象 共同 协作 时 遇 到 的 挑战 ， 这 些 抽象 会 直接 作用 到 网 络 单元 层 。 

Frenetic 包含 了 一 个 符 入 式 的 查询 语言 ， 它 提供 了 高 效 的 抽象 来 读 取 网 络 状态 ， 该 语言 
与 SQL 非常 类 似 ， 也 包含 对 分 组 流 进行 选择 、 过 滤 、 分 解 、 合 并 、 聚 合 等 部 分 内 容 。 该 语 
言 的 另 一 个 特征 是 它 能 够 让 查询 与 转发 策略 结合 起 来 ， 编 译 器 可 以 产生 查询 交换 机 计数 器 所 
需 的 控制 报 文 。 

Frenetic 由 两 个 抽象 层次 构成 ， 如 图 6-4 所 示 。 上 层 是 Frenetic 的 源 级 API， 它 提供 了 
对 网 络 流量 进行 管控 的 操作 集 ， 查 询 语言 提供 了 读 取 网 络 状 态 、 合 并 不 同 的 查询 、 描 述 高 层 
断言 的 方法 ， 这 些 高 层 断 言 可 用 于 分 类 、 过 滤 、 转 换 和 合并 穿越 网 络 的 分 组 流 。 下 层 抽象 是 
由 运行 在 SDN 控制 器 上 的 运行 时 系统 提供 的 ， 它 将 高 层 策略 和 查询 转译 为 低层 流 规 则 ， 并 
生成 必要 的 OpenFlow 命令 ， 将 这 些 规 则 安装 到 交换 机 上 。 


程序 员 API t J (Frenetic) 


运行 时 运行 时 系统 (控制 器 ) 


交换 机 API 全 4 (OpenFlow) 


xo GBB) 5B) HEB) EB) S56) a 


图 6-4 Frenetic 体系 结构 


为 了 理解 这 两 个 抽象 层次 的 概念 ， 我 们 考虑 一 个 简单 的 例子 ， 这 个 例子 是 由 Foster 等 人 
2013 年 2 月 发 表 在 《 IEEE 通信 期 刊 》 上 的 论文 [FOST13]， 它 将 转发 功能 和 Web 流量 监视 
功能 结合 起 来 。 下 面 是 一 个 Python 程序 ， 它 运行 在 运行 时 层 ， 可 以 对 OpenFlow 交换 机 进 
行 控制 ; 

def switch_join(s): 

pati = {inport:1} 

pat2web = {inport:2, srcport:80} 
pat2 = {inport:2} 

install(s, pati, DEFAULT, [fwd(2)]) 
install(s, pat2web, HIGH, [fwd(1)]) 
install(s, pat2, DEFAULT, [fwd(1)]) 
query_stats(s, pat2web) 

def stats_in(s, xid, pat, pkts, bytes): 

print bytes 
sleep(30) 
query_stats(s, pat) 


当 一 个 交换 机 加 入 到 网 络 中 ， 程 序 会 在 交换 机 中 为 三 类 流量 安装 三 个 转发 规则 : 从 端口 
1 到 达 的 流量 、 从 端口 2 到 达 的 Web 流量 、 从 端口 2 到 达 的 其 他 流量 ， 其 中 第 二 条 规则 有 高 








优先 级 ， 第 三 条 规则 的 优先 级 是 缺 省 的 ， 因 此 第 二 条 规则 会 优 于 第 三 条 规则 。 调 用 query_ 


stats 会 生成 一 个 与 pat2web 规则 相关 的 计数 器 查询 请 求 ， 当 控制 器 接收 到 回复 ， 它 会 调用 
stats_in 处 理 程序 ， 这 个 函数 会 将 之 前 轮 询 得 到 的 统计 信息 打印 出 来 ， 轮 询 的 周期 为 30 秒 ， 
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之 后 会 向 交换 机 再 次 发 送 匹配 该 规则 的 统计 信息 查询 。 

采用 这 种 方法 编写 程序 会 将 转发 和 Web 监视 结合 到 一 起 ， 这 反映 了 底层 OpenFlow 功能 
的 本 质 ， 对 任何 一 个 功能 进行 的 修改 和 添加 都 会 对 程序 产生 很 复杂 的 影响 。 

采用 Frenetic， 这 两 种 功能 可 以 分 开 来 描述 ， 具 体 如 下 : 


def repeater(): 
rules=[Rule(inport:1, [fwd(2)]) 
Rule(inport:2, [fwd(1)])] 
register(rules) 
def web monitor(): 
q = (Select(bytes) * 
Where(inport=2 & srcport=80) * 
Every (30)) 
q >> Print() 
def main(): 
repeater () 
monitor() 


使 用 上 述 代 码 ， 就 可 以 很 方便 地 修改 监视 器 程序 或 者 用 其 他 监视 程序 替换 ， 同 时 不 会 影 
i] repeater 的 代码 。 重 要 的 是 ， 安 装具 体 的 OpenFlow 规则 以 同时 实现 各 个 组 件 的 任务 就 委 
托 给 运行 时 系统 了 。 在 这 个 例子 中 ,运行 时 系统 会 与 前 面 列 出 的 switch join 函数 的 手工 构 
建 规则 相同 。 


6.3 流量 工程 


流量 工程 ( traffic engineering) 是 一 种 对 网 络 流行 为 进行 动态 分 析 、 管 控 和 预测 的 方法 ， 
目标 是 进行 性 能 优化 从 而 满足 服务 等 级 约定 (SLA)， 它 涉及 根据 QoS 需求 建立 路 由 和 转发 
策略 等 内 容 。 利 用 SDN 进行 流量 工程 要 比 非 SDN 网 络 简单 得 多 ， 因 为 SDN 提供 了 异 构 设 
备 的 统一 全 局 视图 以 及 功能 强大 的 工具 来 对 交换 机 进行 配置 和 管理 。 


流量 工程 ”网 络 工程 概念 中 解决 运营 商 网 络 性 能 评估 和 性 能 优化 问题 方面 的 内 容 。 流 
量 工程 包括 技术 和 科学 原理 在 对 网 络 流量 进行 测量 、 表 征 、 建 模 和 控制 等 方面 的 应 用 。 


SDN 应 用 的 研究 是 一 个 非常 热门 的 领域 ，Kreutz 于 2015 年 1 月 在 《 IEEE 学 报 》 上 发 
表 的 SDN 综述 论文 [KREU15] 列举 了 下 列 可 以 作为 SDN 应 用 来 实现 的 流量 工程 功能 : 

o 按 需 虚拟 专用 网 

e 负载 均衡 

o 能 耗 感知 路 由 

e 宽带 接 人 网 QoS 

e 调度 / 优化 

e 开销 最 低 的 流量 工程 

e 多 媒体 应 用 的 动态 QoS 路 由 

e 通过 快速 故障 切换 组 实现 快速 恢复 

e QoS 策略 管理 框架 

© QoS 保证 

o 异 构 网 络 的 QoS 

e 多 分 组 调度 器 
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© 进行 QoS 保证 的 队列 管理 
© 转发 表 的 分 割 与 传播 


PolicyCop 


一 个 典型 的 流量 工程 SDN 应 用 的 例子 是 文献 [BARI13] 中 提出 的 PolicyCop， 它 是 一 个 
自动 化 的 QoS 策略 实施 框架 ， 有 效 利 用 了 SDN 和 OpenFlow 提供 的 可 编程 性 ， 从 而 实现 了 
以 下 功能 : 

。 动态 流量 管控 

o 灵活 的 流 等 级 控制 

e 动态 的 流量 分 类 

o 可 定制 的 流 聚 合 等 级 

PolicyCop 的 主要 特征 是 它 能 对 网 络 进行 监视 ， 从 而 (根据 QoS 服务 等 级 约定 ) 检测 出 
违反 策略 的 行为 ， 然 后 对 网 络 进 行 重新 配置 ， 并 固化 被 违背 的 策略 。 

如 图 6-5 可 知 ，PolicyCop 由 11 个 软件 模块 和 2 个 数据 库 组 成 ， 安 装 在 应 用 平面 和 控制 
平面 中 。PolicyCop 利用 了 SDN 的 控制 平面 来 监视 QoS 策略 的 兼容 情况 ， 并 能 根据 动态 的 
网 络 流量 统计 信息 自动 调整 控制 平面 的 规则 和 数据 平面 的 流 表 。 





jes HB A 


图 6-5 PolicyCop 的 体系 结构 
在 控制 平面 , PolicyCop 主要 依靠 4 个 模块 和 1 个 存储 控制 规则 的 数据 库 ， 它 们 的 功能 如 下 。 
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© 准 入 控制 : 接受 或 拒绝 资源 供应 模块 发 送 的 网 络 资源 预 留 请 求 ， 这 些 资源 包括 队列 、 


流 表 项 和 带宽 等 。 


o 路 由 选择 : 根据 规则 数据 库 中 的 控制 规则 来 确定 路 径 的 可 用 性 。 

o 设备 追踪 器 : 追踪 网 络 交换 机 和 端口 的 开启 /关闭 状态 。 

e 统计 信息 采集 器 : 使 用 被 动 和 主动 相 结合 的 监视 技术 来 测量 不 同 的 网 络 测度 。 

。 规则 数据 库 : 应 用 平面 将 高 层 网 络 策略 转译 为 控制 规则 并 将 其 存放 在 规则 数据 库 中 。 

具有 REST 功能 的 北向 接口 将 这 些 控制 平面 模块 连接 到 应 用 平面 模块 上 ， 这 些 模 块 可 以 
分 为 两 个 部 分 : 监视 网 络 以 检测 违反 策略 行为 的 策略 验证 器 和 根据 网 络 条 件 及 高 层 策略 调整 
控制 平面 规则 的 策略 执行 器 。 这 两 个 模块 都 依赖 于 策略 数据 库 ， 该 数据 库 包含 网 络 管理 员 输 
入 的 QoS 策略 规则 ， 这 些 模 块 的 功能 如 下 。 

。 流量 监视 器 : 从 策略 数据 库 收集 活跃 策略 信息 ， 并 确定 合适 的 监视 间隔 、 网 段 以 及 


要 监视 的 测度 。 

。 策略 检查 器 : 利用 策略 数据 
库 和 流量 监视 器 的 输入 来 检 
查 违反 策略 的 行为 。 

e 事件 处 理 程序 : 根据 事件 类 
型 检查 违反 策略 的 事件 ， 然 
后 自动 调用 策略 执行 器 或 者 
发 送 动作 请 求 给 网 络 管理 员 。 

e 拓扑 管理 器 : 根据 设备 追 
踪 器 的 输入 来 维护 全 局 网 络 
视图 。 

e 资源 管理 器 : 利用 准 入 控制 
和 统计 信息 采集 保持 对 当前 
已 分 配 资源 的 追踪 。 

e 策略 调整 : 包括 一 组 动作 集 ， 
每 个 动作 针对 一 类 策略 违反 
行为 。 表 6-1 显示 了 部 分 策 
略 调整 动作 的 功能 ， 这 些 动 
作 可 以 是 由 网 络 管理 员 指 定 
的 可 插 拨 组 件 。 

e 资源 供应 : 这 个 模块 根据 违 
反 策略 的 事件 ， 要 么 分 配 更 
多 资源 ， 要 么 释放 现 有 资 
i, 要么 两 者 合 而 为 之 。 

图 6-6 显示 了 PolicyCop 的 工作 

流程 。 


6.4 测量 和 监视 


表 6-1 一 些 策略 调整 动作 (PAA) 的 功能 
SLA 参数 PAA 功能 
丢 包 修改 队列 配置 或 者 重 路 由 到 一 条 更 好 的 路 径 上 
吞吐 量 《| 修改 速率 限 速 器 从 而 抑制 行为 异常 的 流 
时 延 将 流 调度 到 一 个 新 的 拥塞 程度 更 低 、 时 延 适宜 的 路 径 上 
时 延 拌 动 | 将 流 重 路 由 到 一 条 拥塞 程度 更 低 的 路 径 上 
设备 失效 | 将 流 重 路 由 到 另 一 条 路 径 上 ， 从 而 绕 过 失效 的 设备 








图 6-6 PolicyCop 的 工作 流程 图 


测量 和 监视 应 用 领域 可 以 大 致 分 为 两 类 : 为 其 他 网 络 服务 提供 新 功能 的 应 用 和 增加 
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OpenFlow SDN 价值 的 应 

第 一 Aiea tee Hie, WREEF SDN 的 网 络 ， 那 么 新 功能 可 
以 添加 到 家 庭 网 络 流量 和 需求 测量 中 ， 从 而 允许 系统 对 不 断 变化 的 情况 进行 响应 。 第 二 类 应 
用 通常 包括 使 用 不 同 的 抽样 和 评估 技术 来 降低 控制 平面 在 收集 数据 平面 统计 信息 时 的 负担 。 


6.5 安全 


本 领域 的 应 用 有 以 下 两 个 目标 。 

。 解决 与 SDN 使 用 相关 的 安全 性 问题 : SDN 包含 三 层 体系 结构 (应 用 、 控 制 、 数 据 ) 
以 及 新 方法 来 进行 分 布 式 控制 和 封装 数据 ， 因 此 它 可 能 导致 新 型 攻击 的 出 现 ， 这 些 
威胁 可 以 出 现在 三 个 层次 中 的 任何 一 层 ， 也 可 能 会 发 生 在 层次 之 间 的 通信 过 程 中 。 
因此 ， 需 要 有 相应 的 SDN 应 用 来 保护 SDN 在 使 用 时 的 安全 。 

e 利用 SDN 功能 提高 网 络 安全 性 : 虽然 SDN 给 网 络 设计 者 和 管理 员 带 来 了 新 的 安全 
性 挑战 ， 但 是 它 还 为 网 络 提供 了 一 个 平台 来 实现 一 致 的 、 集 中 管理 的 安全 策略 和 机 
fil, SDN 允许 开发 SDN 安全 控制 器 和 SDN 安全 性 应 用 ， 从 而 提供 和 编排 安全 服务 
及 机 制 。 

本 节 利用 一 个 SDN 安全 性 应 用 的 例子 来 说 明 第 2 个 目标 ,我 们 会 在 第 16 章 中 更 详细 地 

介绍 SDN 安全 性 方面 的 话题 。 


OpenDaylight 的 DDoS 应 用 


2014 年 ， 虚 拟 和 云 数据 中 心 的 应 用 分 发 和 应 用 安全 解决 方案 提供 商 Radware 宣布 
他 们 在 OpenDaylight 项 目 中 的 工作 Defense4Al1， 它 是 一 个 开放 的 SDN 安全 应 用 ,集成 
在 OpenDaylight 中 。Defense4All 为 运营 商 和 云 服 务 提 供 商 提供 了 检测 和 缓解 分 布 式 拒绝 
ARS WL (distributed denial of service, DDoS) 的 本 地 网 络 服务 。 通 过 使 用 OpenDaylight 
的 SDN 控制 器 来 对 支持 SDN 的 网 络 进行 编程 ， 使 其 成 为 DoS/DDosS 防护 服务 的 一 部 分 ， 
Defense4All 使 得 操作 员 可 以 为 每 个 虚拟 网 段 或 用 户 提供 DoS/DDoS 防护 服务 。 


分 布 式 拒绝 服务 攻击 ”一 种 用 很 多 系统 对 服务 器 、 网 络 设备 或 链 路 发 送 洪 泛 数据 ， 从 
而 耗 尽 它们 的 可 用 资源 (如 带宽 、 内 存 、 AEWA ®) 的 攻击 ， BRK GARE ARS. 
链 路 无 法 对 正常 用 户 进行 响应 。 


Defense4All 使 用 了 通用 技术 来 防御 DDoS 攻击 ， 它 主要 包括 以 下 要 素 : 

e 在 平时 采集 流量 统计 信息 和 学 习 受 保护 对 象 的 统计 行为 ， 所 保护 对 象 的 正常 流量 基 
准 就 是 利用 这 些 采 集 到 的 统计 信息 建立 起 来 的 。 

© 将 DDoS 攻击 模式 作为 偏离 正常 基准 的 流量 异常 进行 检测 。 

o 将 可 疑 流量 从 正常 路 径 转 移 到 攻击 缓解 系统 (attack mitigation system, AMS) 进行 流 
量 清 洗 、 源 筛选 阻塞 等 ， 经 过 清洗 后 返回 的 流量 重新 注 和 人 网 络 ， 并 发 往 分 组 的 初始 
目的 地 。 

图 6-7 显示 了 Defense4All 的 总 体 应 用 背景 ， 其 中 底层 SDN 网 络 包 括 一 些 数据 平面 的 交 
换 机 ， 它 们 支持 客户 机 和 服务 器 设备 之 间 的 流量 传输 ，Defense4All 作为 应 用 运行 ， 并 通过 
OpenDaylight 控制 器 (ODC) 北向 API 与 控制 器 进行 交互 。Defense4All 为 网 络 管理 员 提 供 
了 用 户 接口 ， 该 接口 可 以 是 命令 行 接口 或 REST API。 最 后 ，Defense4All 还 有 一 个 API 与 一 
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个 或 多 个 AMS 进行 通信 。 







Defense4All 北向 API 
(REST 或 命令 行 和 接口 ) 


OpenDaylight 控 制 咒 
北向 API (REST ) 






wemnnnnnnn、 CT 


gagi 


SDN 






图 6-7 OpenDaylight DDoS 应 用 


管理 员 可 以 对 Defense4All 进行 配置 ， 从 而 保护 特定 的 网 络 和 服务 器 ， 它 们 也 称 为 受 保 
护 网 络 (protected network, PN) 和 受 保 护 对 象 (protected object, PO)， 应 用 会 指导 控制 器 在 
每 个 PO 流 会 经 过 的 网 络 位 置 为 每 个 协议 安装 相应 的 流量 计数 器 。 

Defense4All 随后 对 所 有 已 配置 PO 的 流量 进行 监视 ， 并 对 所 有 相关 网 络 位 置 的 读数 、 
速率 、 平 均值 进行 总 结 ， 如 果 它 检测 到 流量 偏离 了 特定 PO 协议 〈 例 如 TCP, UDP, ICMP 
或 其 他 流量 ) 的 正常 流量 行为 ，Defense4All 会 宣告 有 针对 PO 协议 的 攻击 。 具 体 来 说 ， 
Defense4All 会 不 断 计算 通过 OpenFlow 测量 得 到 的 实时 流量 均值 ， 当 实时 流量 偏离 正常 水 
平 的 80% 时 ， 将 会 判定 是 攻击 。 

为 了 消除 被 发 现 的 攻击 ，Defense4All 会 执行 以 下 过 程 : 

1 ) 会 验证 AMS 设备 是 否 活跃 ， 并 选择 一 个 存活 的 连接 与 之 相连 。 当 前 ，Defense4All 
和 Radware 公司 的 AMS 一 起 协同 工作 ， 称 为 DefensePro。 

2) 会 对 AMS 配置 安全 策略 和 攻击 流量 的 正常 速率 ， 这 就 为 AMS 提供 了 必要 的 信息 来 
进行 攻击 缓解 ， 直 到 流量 降 为 正常 速率 水 平 为 止 。 

3) 开始 监视 和 记录 系统 日 志 ， 这 些 日 志 来 自 AMS， 只 要 Defense4All 继续 接收 系统 日 
志 的 攻击 通告 ，Defense4All 就 会 不 断 将 流量 转移 给 AMS ， 即 使 该 PO 的 流 计数 器 没有 察觉 
到 任何 攻击 。 

4) 将 选中 的 物理 AMS 连接 映射 到 相应 的 PO 链 路 上 ， 这 通常 涉及 使 用 OpenFlow 改变 
虚拟 网 络 中 链 路 的 定义 。 

5) 安装 优先 级 更 高 的 流 表 项 ， 这 样 攻击 流量 会 被 重新 引导 到 AMS, ， 而 经 过 AMS 检测 
的 流量 会 重新 注 人 到 正常 的 流量 路 由 上 去 。 当 Defense4All 确定 攻击 结束 了 (没有 从 流 表 计 
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数 器 和 AMS 获得 任何 攻击 指示 )， 它 会 回 到 之 前 的 步骤 : 停止 对 流量 相关 的 系统 日 志 进 行 监 
视 ， 移 除 转移 流量 的 流 表 项 ， 从 AMS 中 移 除 安全 配置 。 随 后 ，Defense4All 就 回 到 了 正常 监 
图 6-8 显示 了 Defense4All 的 主要 软件 构成 ， 总 体 应 用 结构 (或 者 说 框架 ) 包括 以 下 模块 。 

e Web (REST) 服务 器 : 与 网 络 管理 员 的 接口 。 

e 框架 主 函数 : 启动 、 停 止 或 重 置 框架 的 机 制 。 

o 框架 REST ARS: 对 从 Web (REST) 服务 器 发 送 过 来 的 用 户 请 求 进 行 响应 。 

e 框架 管理 点 : 配合 和 激活 控制 与 配置 命令 。 

e Defense4All 应 用 : 将 在 后 文 介绍 。 

e 通用 类 和 效用 : 便捷 的 类 和 效用 库 ， 对 任何 框架 或 SDN 应 用 模块 都 有 用 。 

© 仓库 服务 : 框架 设计 中 一 个 重要 的 要 素 是 将 计算 状态 从 计算 逻辑 中 分 离 出 来 ， 所 有 
持久 的 状态 都 存储 在 一 组 仓库 中 ， 它 们 可 以 在 不 需要 知道 计算 逻辑 (框架 或 应 用 ) 的 
情况 下 被 复制 、 缓 存 和 分 发 。 

e 日 志和 黑匣子 服务 : 日 志 服 务 利 用 了 日 志 中 的 错误 、 警 告 、 追 踪 或 信息 ， 这 些 日 志 
主要 为 Defense4All 的 开发 者 所 用 ， 黑 匣子 记录 了 运行 时 从 Java 应 用 获得 的 事件 和 
测度 。 

e 健康 追踪 器 : 保存 Defense4All 的 运行 时 健康 指示 ， 从 而 对 严重 的 功能 或 性 能 衰退 进 
行 响应 。 

。 集群 管理 器 : 负责 管理 集群 模式 下 与 其 他 Defenses All 实体 的 协调 合作 。 

Defense4All 应 用 模块 包括 以 下 元 素 。 

e DF 应 用 根 : 应 用 的 根 模块 。 

DF 的 REST 服务 : 对 Defense4All 应 用 的 REST 请 求 进行 响应 。 

DF 管理 点 : 该 管理 点 用 于 驱动 控制 和 配置 命令 ， 然 后 按照 正确 的 顺序 调用 其 他 相关 
模块 。 

ODL Æ: 针对 不 同 ODC 版 本 的 可 插 拔 模块 集 ， 由 两 个 子 模块 组 成 : 相关 流量 的 统计 
信息 收集 以 及 流量 路 径 的 转移 。 

SDN 状态 采集 器 : 负责 为 每 个 位 于 特定 网 络 位置 (物理 或 逻辑 上 的 位 置 ) 的 PN 
设置 “计数 器 *"， 其 中 计数 器 是 启用 ODC 网 络 的 交换 机 和 路 由 器 中 OpenFlow 流 
表 项 的 集合 。 该 模块 会 周期 性 地 从 计数 器 收集 统计 信息 ， 并 将 它们 提供 给 基于 
SDN 的 检测 管理 器 (SDNBasedDetectionMgr)。 该 模块 使 用 SDN 统计 信息 采集 库 
( SDNStatsCollectionRep) 来 设置 计数 器 并 读 取 这 些 计数 器 最 新 的 统计 信息 。 统 计 信 
息 报告 包括 读 取 时 间 、 计 数 器 规范 、PN 标签 以 及 流量 数据 信息 列表 ， 其 中 每 个 流量 
数据 单元 都 包含 流 表 项 最 近 的 字 节 数 和 分 组 数 ， 这 里 的 流 表 项 配置 为 计数 器 位 置 的 
< 协议 ， 端 口 ， 方 向 >， 协 议 可 以 是 ftcp, udp, icmp, 其 他 ip}， 端口 可 以 是 任何 4 层 
的 端口 ， 方 向 可 以 是 { 人 ,出 }。 

基于 SDN 的 检测 管理 器 : 一 个 基于 SDN 的 可 插 拔 检测 器 的 容器 ， 它 将 从 SDN 统 
tHa BRE RE (SDNStatsCollector) 接收 到 的 统计 信息 报告 发 送 给 基于 SDN 的 检测 
器 ， 它 还 提供 从 攻击 决策 点 ( AttackDecisionPoint) 得 到 的 所 有 与 攻击 结束 相关 的 基 
于 SDN 的 检测 器 通告 (从 而 可 以 对 检测 机 制 进行 重 置 )。 每 个 检测 器 会 随 着 时 间 不 
断 学 习 每 个 PN 的 正常 流量 行为 ， 然 后 在 检测 到 流量 异常 时 ， 将 其 通告 给 攻击 决策 点 
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(AttackDecisionPoint ) 。 

攻击 决策 点 : 负责 维护 从 宣告 发 现 新 攻击 到 攻击 结束 并 终止 流量 转移 这 一 阶段 的 生 
命 周 期 。 

攻击 缓解 管理 器 : 一 个 可 插 拔 缓解 驱动 器 的 容器 ， 它 维护 着 由 AMS 执行 的 各 个 缓解 
的 生命 周期 。 每 个 缓解 驱动 器 负责 使 用 它们 管理 域 的 AMS 来 驱使 攻击 缓解 。 

e 基于 AMS 的 检测 器 : 本 模块 负责 利用 AMS 来 监视 /查询 攻击 缓解 。 

e AMS 仓库 (Rep): 控制 与 AMS 的 接口 。 

图 6-8 展示 了 相当 直观 的 SDN 应 用 的 复杂 性 。 


Defense4All 北 向 API 
( bd lds 口 ) 


框架 主 函数 ， 1 ca 
(生命 周期 控制 ) | 











ODC 北 向 API ( REST ) 


DF 应 用 根 


图 6-8 Defense4All 的 详细 软件 体系 结构 


最 后 需要 注意 的 是 ，Radware 开发 了 商用 版 本 的 Defense4All， 名 为 DefenseFlow， 它 采 
用 了 更 加 复杂 的 算法 利用 模糊 逻辑 对 攻击 进行 检测 ， 这 使 得 DefenseFlow 有 更 强 的 能 力 从 异 
常 但 是 合法 的 大 容量 流量 中 识别 出 攻击 。 
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6.6 数据 中 心 网 络 


目前 我 们 已 经 介绍 了 三 种 SDN 应 用 领域 ,分 别 是 : 流量 工程 、 测 量 和 监视 、 安 全 。 在 
这 几 种 应 用 领域 所 提供 的 例子 表明 SDN 在 许多 不 同类 型 网 络 中 有 很 广泛 的 用 例 ， 剩 下 的 三 
种 应 用 领域 (数据 中 心 网 络 、 移 动 和 无 线 、 信 息 中 心 网 络 ) 则 使 用 在 特定 类 型 的 网 络 中 。 

云 计算 、 大 数据 、 大 型 企业 网 其 至 小 型 企业 网 都 极度 依赖 高 效 和 扩展 性 强 的 数据 中 心 。 
文献 [KREU15] 列举 了 数据 中 心 的 主要 需求 ， 包 括 : 较 高 和 灵活 的 横向 带宽 (cross-section 
bandwidth) 以 及 低 时 延 、 基 于 应 用 需求 的 QoS 、 高 度 的 弹性 、 智 能 资源 利用 以 降低 能 耗 并 
改进 总 体 效 率 ， 以 及 灵活 的 网 络 资源 分 配 〈 例 如 对 计算 、 存 储 和 网 络 资源 的 虚拟 化 及 编排 )。 


横向 带宽 ”对 于 网 络 来 说 ， AE AAS ee Fo! RE 
大 的 双向 传输 速率 ! RR o a 


在 传统 的 网 络 体系 结构 下 ， 这 些 需 求 由 于 网 络 的 复杂 性 和 僵化 很 多 都 难以 得 到 满足 ， 
SDN 则 体现 出 对 数据 中 心 网 络 进行 优化 改进 的 希望 ， 它 具备 快速 修改 数据 中 心 网 络 配置 的 
能 力 ， 从 而 灵活 响应 用 户 的 需求 ， 并 保证 高 效 的 网 络 运 维 。 

本 节 剩 下 的 部 分 将 介绍 两 个 数据 中 心 SDN 应 用 的 例子 。 


6.6.1 基于 SDN 的 大 数据 


Wang 等 人 在 HotSDN’12 会 议 上 发 表 的 论文 [WANG12] 提出 了 一 种 利用 SDN 对 数据 中 
心 网 络 的 大 数据 应 用 进行 优化 的 方法 ， 这 个 方法 利用 SDN 的 功能 来 提供 应 用 感知 网 络 ， 并 
充分 结合 了 结构 化 大 数据 应 用 的 特征 以 及 最 近 在 动态 可 重 配置 光电 路 方面 的 流行 趋势 。 对 于 
许多 结构 化 的 大 数据 应 用 ， 它 们 根据 定义 良好 的 计算 模式 来 处 理 数 据 ， 此 外 还 有 集中 管理 结 
构 使 得 利用 应 用 层 信息 对 网 络 优化 成 为 可 能 。 在 能 预知 大 数据 应 用 计算 模式 的 情况 下 ， 将 数 
据 在 大 数据 服务 器 中 进行 智能 部 署 成 为 可 能 ， 而 且 更 关键 的 是 ， 利 用 SDN 对 网 络 中 的 流 进 
行 重 配 置 还 可 以 对 不 断 变化 的 应 用 模式 进行 快速 反应 。 

相对 于 电 交 换 机 来 说 ， 光 交换 机 具有 更 高 的 数据 传输 速率 ， 同 时 还 减少 了 布线 复杂 性 以 
及 能 耗 。 许 多 项 目 都 说 明了 如 何 收集 网 络 级 流量 数据 以 及 在 端 结 点 〈 例 如 机 架 交 换 机 ) 之 间 
智能 分 配 光电 路 从 而 改进 应 用 性 能 ， 但 是 电路 利用 率 和 应 用 性 能 还 是 不 足 ， 除 非 对 流量 需求 
和 依赖 性 有 真实 的 应 用 级 视图 。 将 对 大 数据 应 用 模式 的 理解 与 SDN 的 动态 功能 结合 起 来 ， 
就 可 以 实现 高 效 的 数据 中 心 网 络 配置 ， 从 而 支持 不 断 增长 的 大 数据 需求 。 

图 6-9 显示 了 一 个 简单 的 光电 混合 数据 中 心 网 络 ， 其 中 支持 OpenFlow 的 机 架 ( top-of- 
rack,TOR) 交换 机 与 两 个 汇聚 交 单独 的 应 用 控制 器 
换 机 相连 ， 这 两 个 汇聚 交换 机 一 A fing ee 
个 是 以 太 网 交换 机 ， 一 个 是 光电 
路 交换 机 (OCS)， 所 有 交换 机 
都 由 SDN 控制 器 控制 ，SDN 控 
制 器 还 能 通过 配置 光 交 换 机 对 光 
电路 机 架 交 换 机 之 间 的 物理 连接 
进行 管理 ， 此 外 ， 还 可 以 利用 
OpenFlow 规则 管理 机 架 交 换 机 
的 转发 。 图 6-9 大 数据 应 用 的 集中 网 络 控制 | WANG12 | 


多 应 用 管理 器 
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SDN 控制 器 还 与 Hadoop 调度 器 相连 ， 该 调度 器 对 任务 队列 进行 管理 和 调度 ， 关 系数 据 
库 的 主 HBase 控制 器 则 保存 大 数据 应 用 的 数据 。 此 外 ，SDN 控制 器 还 与 Mesos 集群 控制 器 
相连 ， 其 中 Mesos 是 一 个 开源 软件 包 ， 它 提供 了 跨 分 布 式 应 用 的 资源 调度 与 分 配 服务 。 

SDN 控制 器 为 Mesos 集群 管理 器 提供 了 可 用 的 网 络 拓扑 和 流量 信息 ，SDN 控制 器 还 会 
接收 从 Mesos 管理 器 发 送 过 来 的 流量 需求 请 求 。 

在 图 6-8 中 ， 还 可 以 增加 利用 大 数据 应 用 的 流量 需求 对 网 络 进行 动态 管理 的 机 制 ， 并 利 
用 SDN 控制 器 来 管理 这 个 任务 。 


6.6.2 基于 SDN 的 云 网 络 


云 网 络 即 服务 (CloudNaaS ) 是 一 种 云 网 络 系统 ， 它 充分 利用 了 OpenFlow 的 SDN 功能 
来 为 云 客户 提供 对 云 网 络 功能 的 高 度 控 制 [BENS11]. CloudNaaS 使 得 用 户 可 以 部 署 包含 各 
种 网 络 功能 的 应 用 ， 这 些 网 络 功能 可 以 是 虚拟 网 络 隔离 、 自 定义 寻 址 、 服 务 区 分 、 各 种 中 间 
163| 盒 的 灵活 布置 。CloudNaag 原 语 利用 高 速 可 编程 网 络 单元 在 云 基础 设施 内 部 直接 实现 ， 从 而 
164| 使 得 CloudNaaS 高 效 可 用 。 
图 6-10 说 明了 CloudNaaS 运行 中 的 主要 事件 序列 ， 其 具体 描述 如 下 。 





用 户 用 户 esos 
网 络 策略 网 络 策略 ii (aE 
ks 人 — > 
r 图 
云 控制 器 
分 配给 用 户 的 资源 
a) 明确 用 户 需求 b) 将 需求 转换 为 通信 和 矩阵 
通信 和 矩阵 
l ER Be! ‘coo 
we 虚拟 网 络 
c ) 将 矩阵 项 转换 为 网 络 级 规则 d) 安装 规则 并 配置 路 径 


图 6-10 ”CloudNaas 框架 中 的 各 个 步骤 


a. 云 客户 使 用 简洁 的 策略 语言 来 描述 客户 应 用 所 需 的 网 络 服务 ， 这 些 策 略 描述 被 发 送 给 
由 云 服 务 提 供 商 管控 的 云 控制 器 服务 器 。 

b. 云 控制 器 将 网 络 策略 映射 到 通信 和 矩阵 中 ， 该 矩阵 定义 了 所 期 望 的 通信 模式 和 网 络 服 
务 。 通 信和 矩阵 用 于 确定 云 服 务 器 中 最 优 的 虚拟 机 (VM) 部 署 位 置 ， 从 而 使 云 可 以 高 效 地 满 
足 最 多 的 全 局 策略 要 求 ， 这 些 工 作 都 建立 在 掌握 其 他 客户 需求 和 当前 活跃 程度 的 基础 上 。 

c. 逻辑 通信 和 矩阵 被 转换 为 网 络 级 指令 ， 并 交 给 数据 平面 的 转发 单元 ， 客 户 的 VM 实例 通 

过 创建 和 安排 特定 数量 的 VM 来 进行 部 署 。 
d. 网 络 级 指令 通过 OpenFlow 安装 到 网 络 设备 中 。 
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客户 所 看 到 的 抽象 网 络 模型 包括 VM 和 连接 VM 的 虚拟 网 段 ， 策 略语 言 则 对 VM 集 进 
行 了 关联 ， 从 而 构成 一 个 应 用 并 定义 了 各 种 连接 到 虚拟 网 段 的 功能 。 主 要 的 结构 如 下 。 
o 地 址 : 指定 客户 可 见 的 客户 VM 地 址 。 
。 组 : 创建 了 一 个 或 多 个 VM 的 逻辑 组 ， 将 功能 类 似 的 VM 进行 编组 可 以 实现 在 不 需 
要 改变 各 个 VM 中 的 服务 的 条 件 下 对 整个 组 进行 修改 。 
e 中 间 盒 : 通过 指定 中 间 盒 的 类 型 和 配置 文件 来 对 新 的 虚拟 中 间 盒 进行 命名 和 初始 化 。 
可 用 中 间 盒 列表 和 它们 的 配置 语法 由 云 提 供 商 来 提供 ， 具 体 的 例子 包括 入 侵 检测 和 


审计 兼容 系统 。 
e 网 络 服务 : 指定 连接 到 虚拟 网 段 的 功能 范围 ， 例 如 二 层 广 播 域 、 链 路 QoS 、 必 须 经 
过 的 中 间 盒 列表 。 


o 虚拟 网 段 : 虚拟 网 段 (Virtualnet) 连接 着 各 个 VM 组 ， 并 与 网 络 服务 相关 联 。 一 个 虚 
拟 网 络 可 以 跨越 一 个 或 两 个 组 。 当 只 有 一 个 组 时 ， 服 务 应 用 在 组 内 所 有 VM 对 之 间 
的 流量 上 ; 当 有 两 个 组 时 ， 服 务 应 用 在 第 一 个 组 的 任意 VM 和 第 二 个 组 的 任意 VM 
之 间 。 虚 拟 网 络 还 连接 着 其 他 预先 定义 的 组 ， 例 如 EXTERNAL， 它 表示 所 有 位 于 云 
之 外 的 端 结 点 。 
图 6-11 给 出 了 CloudNaasg 的 总 体 架 构 ， 它 的 两 个 主要 组 件 分 别 为 云 控制 器 和 网 络 控制 
器 ， 其 中 云 控制 器 提供 了 基础 设施 即 服务 (Infrastructure as a Service, laaS) 的 基础 服务 来 对 
VM 实例 进行 管理 ， 用 户 可 以 传递 标准 的 Iaas 请 求 ， 例 如 设置 VM 和 存储 。 此 外 ， 网 络 策 
略 集 使 用 户 可 以 为 VM 定义 虚拟 网 络 功能 ， 云 控制 器 对 云 中 部 署 在 物理 服务 器 上 的 软件 可 编 
程 虚拟 交换 机 进行 管理 ， 该 交换 机 可 以 为 租户 应 用 提供 网 络 服务 ， 包 括 用 户 定义 虚拟 网 段 的 
管理 。 云 控制 器 构建 了 通信 矩阵， 并 将 和 矩阵 传递 给 网 络 控制 器 。 


网 络 控制 器 





图 6-11 CloudNaaS 体系 结构 
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基础 设施 即 服务 ， 一 种 为 用 户 提供 了 访问 底层 云 基础 设施 的 云 服务 。 IaagS 为 用 户 提 
供 庶 拟 机 、 存 储 、 网 络 和 其 他 必要 的 计算 资源 ， ahipa bisah sa 这 
些 软 件 可 以 是 操作 系统 和 应 用 程序 。 小 


网 络 控制 絮 利 用 通信 和 矩 阵 对 数据 平面 的 物理 和 虚拟 交换 机 进行 配置 ， 它 会 在 VM 之 间 生 
成 虚拟 网 络 ， 并 向 云 控制 器 提供 VM 部 署 指 令 。 网 络 控制 器 还 会 对 云 数 据 平面 交换 机 的 流量 
和 性 能 进行 监视 ， 并 在 必要 的 时 候 对 网 络 状态 进行 修改 ， 从 而 优化 资源 的 使 用 以 满足 租户 需 
求 。 控 制 器 会 激活 部 署 优化 器 以 确定 在 云 中 部 署 VM 的 最 佳 位 置 (并 将 其 上 报 给 云 控制 器 以 
申请 该 位 置 )， 控 制 器 随后 使 用 网 络 供应 器 模块 为 网 络 中 的 各 个 可 编程 设备 生成 配置 命令 集 
对 其 进行 配置 ， 并 对 租户 的 虚拟 网 段 进 行 相应 的 实例 化 处 理 。 

因此 ，CloudNaaS 为 云 客户 提供 的 不 仅仅 是 简单 的 处 理 和 存储 资源 请 求 ， 还 可 以 定义 
VM 的 虚拟 网 络 ， 并 对 虚拟 网 络 的 服务 和 QoS 需求 进行 管控 。 


6.7 移动 和 无 线 


除了 有 线 网 络 中 传统 的 性 能 、 安 全 、 可 靠 性 需求 以 外 ， 无 线 网 络 还 提出 了 很 多 新 的 需求 
及 挑战 。 移 动用 户 不 断 对 新 服务 提出 了 高 质量 和 高 效 的 内 容 传 输 要 求 ， 并 且 与 地 理 位 置 无 
关 。 网 络 提供 商 必 须 处 理 与 可 用 频谱 管理 、 切 换 机 制 实现 、 高 效 负载 均衡 实施 、QoS 和 QoE 
需求 响应 、 安 全 性 保证 等 方面 相关 的 问题 。 

SDN 可 以 提供 很 多 必要 的 工具 给 无 线 网 络 提供 商 ， 而 且 近 些 年 设计 出 了 有 很 多 供 无 线 
网 络 提供 商 使 用 的 基于 SDN 的 应 用 ,文献 [KREU15] 列举 了 下 列 无 线 SDN 应 用 领域 : 通过 
高 效 切换 实现 无 颖 的 移动 性 、 虚 拟 接 人 点 的 按 需 创 建 、 负 载 均 衡 、 下 行 链 路 调度 、 动 态 频谱 
使 用 、 增 强 的 小 区 间 干 扰 协 调 、 每 用 户 /基站 资源 块 分 配 、 简 化 管理 、 异 构 网 络 技术 管理 、 
不 同 网 络 间 的 互 操作 性 、 共 享 的 无 线 基 础 设施 、QoS 和 接 入 控制 策略 管理 。 

SDN 对 无 线 网 络 提供 商 的 支持 是 当前 一 个 非常 热门 的 领域 ， 很 多 应 用 都 有 可 能 在 未 来 
出 现 。 


6.8 信息 中 心 网 络 


信息 中 心 网 络 (information-centric networking, ICN) 也 称 为 内 容 中 心 网 络 在 近 些 年 受到 了 
非常 大 的 关注 ， 推 动 其 发 展 的 原因 是 当前 因特网 的 主要 功能 是 信息 的 分 发 和 管控 。 传 统 的 网 
络 模式 以 主机 为 中 心 ， 信 息 的 获取 都 是 通过 与 特定 名 字 的 主机 交互 而 得 到 的 ，ICN 与 其 不 同 ， 
它 的 目标 是 通过 直接 对 信息 对 象 进行 命名 和 操作 从 而 提供 网 络 原 语 实现 高 效 的 信息 检索 。 

由 于 位 置 和 身份 之 间 存 在 区 别 ， 因 此 ICN 需要 将 信息 从 它 的 源 端 分 离 出 来 ， 这 种 方法 
的 本 质 是 信息 源 可 以 在 网 络 中 的 任意 位 置 部 署 信息 、 用 户 可 以 找到 位 于 网 络 任意 位 置 中 的 信 
息 ， 因 为 信息 的 命名 、 寻 址 、 匹 配 都 与 位 置 无 关 。 在 ICN 中 ,不 再 使 用 明确 的 源 一 目的 主 
机 对 进行 通信 ， 每 块 信息 都 有 自己 的 名 字 ， 在 发 送 请 求 之 后 ， 网 络 负责 找到 最 佳 的 信息 源 ， 
该 信息 源 可 以 提供 想 要 的 信息 ， 因 此 ， 信 息 请 求 的 路 由 是 根据 一 个 与 位 置 无 关 的 名 字 来 找到 
最 佳 的 信息 源 。 

在 传统 网 络 中 部 署 ICN 非常 具有 挑战 性 ， 因 为 需要 用 支持 ICN 的 路 由 设备 对 现 有 的 设 
备 进 行 升 级 或 替换 ， 此 外 ，ICN 将 分 发 模型 从 主机 到 用 户 转换 为 从 内 容 到 用 户 ， 这 就 需要 对 
信息 的 需求 与 供应 以 及 信息 的 转发 这 两 项 工作 进行 明确 的 分 离 。SDN RA AMS ICN 提供 
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必要 技术 的 潜力 ， 因 为 SDN 提供 了 转发 单元 的 可 编程 能 力 ， 而 且 还 将 控制 平面 和 数据 平面 
进行 了 分 离 。 

一 些 项 目 提出 利用 SDN 的 功能 来 实现 ICN， 但 是 在 对 SDN 和 ICN 如 何 结合 方面 并 没 
有 达成 一 致意 见 。 已 经 提出 的 方法 包括 对 OpenFlow 协议 进行 加 强 和 修改 ， 使 用 哈 希 函数 对 
名 字 和 IP 地 址 进行 映射 ,使 用 IP 选项 首部 作为 名 字 字 段 ， 或 使 用 OpenFlow 交换 机 和 ICN 
路 由 器 之 间 的 抽象 屋 ， 从 而 将 该 层 和 OpenFlow 交换 机 、ICN 路 由 器 作为 单个 可 编程 的 ICN 
路 由 器 。 

本 节 剩 下 的 部 分 将 会 简要 介绍 最 后 一 种 方法 ,文献 NGUY13, NGUY14] 对 其 进行 了 介 
绍 。 该 方法 的 设计 目的 是 为 OpenFlow 交换 机 提供 ICN 功能 ， 同 时 不 需要 对 OpenFlow 交换 
机 进行 修改 ， 这 种 方法 建立 在 开源 协议 规范 以 及 ICN 的 软件 参考 实现 ( 即 CCNx) 之 上 。 在 
介绍 抽象 层 方法 之 前 ， 需 要 简要 了 解 一 下 CCNx 的 背景 。 


6.8.1 CCNx 


CCNx 是 由 Palo Alto 研究 中 心 (PARC) 研发 的 开源 项 目 ， 有 一 部 分 实现 已 经 进行 了 试 
验 性 部 署 。 

CCN 中 主要 通过 两 种 分 组 类 型 来 通信 : 兴趣 分 组 (interest packet) 和 内 容 分 组 (content 
packet)。 用 户 通 过 发 送 兴趣 分 组 来 请 求 所 需 的 内 容 ， 任 意 接 收 到 兴趣 分 组 且 拥 有 该 命名 数 
据 的 CCN 结 点 会 返回 一 个 内 容 分 组 。 当 兴趣 分 组 中 的 信息 名 字 与 内 容 对 象 分 组 的 名 字 一 致 
时 ， 则 内 容 分 组 符合 兴趣 分 组 。 如 果 一 个 CON 结 点 接收 到 一 个 兴趣 分 组 ， 但 是 又 没有 该 兴 
趣 分 组 所 请 求 内 容 的 副本 时 ， 它 会 将 兴趣 分 组 转发 给 内 容 的 信息 源 ， 而 CCN 结 点 由 转发 表 
来 确定 应 当 从 哪个 方向 转发 该 兴趣 分 组 。 内 容 提 供 者 接收 到 的 兴趣 分 组 与 它 的 内 容 名 字 相 匹 
配 时 ， 会 回复 一 个 内 容 分 组 ， 这 时 任意 中 间 结 点 可 以 有 选择 性 地 对 该 内 容 对 象 进 行 缓存 ， 这 
样 它们 在 下 一 次 接收 到 相同 名 字 的 兴趣 分 组 时 就 可 以 直接 返回 内 容 对 象 的 副本 。 

CCN 结 点 的 基本 运行 方式 与 IP 结 点 相似 ，CCN 结 点 利用 接口 来 发 送 和 接收 分 组 ， 这 里 
的 接口 (face) 是 与 应 用 、 其 他 CON 结 点 或 者 其 他 类 型 信道 交互 的 连接 点 。 一 个 接口 有 标明 
期 望 的 时 延 和 带宽 、 广 播 或 多 播 ， 以 及 其 他 特征 的 属性 。CCN 结 点 有 如 下 三 个 主要 的 数据 
结构 。 

e 内 容 存储 : (有 选择 性 地 ) 保留 之 前 转发 过 的 内 容 分 组 。 

e 转发 信息 库 (FIB) 用 于 向 可 能 的 数据 源 转发 兴趣 分 组 。 

e 待定 兴趣 表 (PIT): 用 于 追踪 兴趣 分 组 的 上 游 转发 结 点 ， 这 样 CCN 结 点 在 接收 到 内 

容 分 组 之 后 可 以 将 其 发 送 回 请 求 方 。 

如 何 让 内 容 源 变 得 为 网 络 所 周知 以 及 CCN 网 络 路 由 如 何 建立 超出 了 本 书 的 讨论 范围 ， 
但 简要 地 说 ， 内 容 提供 者 会 通告 内 容 的 名 字 ， 路 由 也 是 通过 CCN 结 点 之 间 的 协作 来 建立 的 。 

ICN 主要 依靠 网 络 内 部 的 缓存 ， 也 就 是 说 在 内 容 提供 商 和 请 求 者 之 间 的 路 径 上 对 内 容 
进行 缓存 ， 这 种 沿路 缓存 ( on-path caching) 达到 了 很 好 的 总 体 性 能 ， 但 是 它 并 不 是 最 优 的 ， 
因为 很 多 内 容 被 复制 到 路 由 器 上 ， 这 就 减少 了 它们 可 以 缓存 内 容 的 空间 。 为 了 克服 这 一 缺 
点 ， 可 以 使 用 离 径 缓存 (off-path caching)， 这 种 方法 将 内 容 分 派 到 网 络 内 部 定义 良好 的 离 径 
缓存 上 ， 使 得 流量 修正 到 这 些 缓存 的 最 优 路 径 上 ， 这 些 缓存 遍布 在 网 络 各 处 。 离 径 缓 存 通过 
高 效 利用 全 网 可 用 缓存 提高 了 全 局 命中 率 ， 还 可 以 减少 出 口 链 路 的 带宽 利用 。 
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6.8.2 ”抽象 层 的 使 用 


将 SDN 交换 机 (特别 是 OpenFlow 交换 机 ) 功能 集成 到 ICN 路 由 器 的 核心 设计 问题 是 
OpenFlow 交换 机 基于 IP 分 组 的 字段 (特别 是 目的 地 IP 地 址 ) 来 进行 转发 ， 而 ICN 路 由 器 则 
根据 内 容 名 字 来 转发 ， 因 此 该 方法 要 将 名 字 哈 希 到 字段 内 ， 以 让 OpenFlow 交换 机 可 以 处 理 。 

图 6-12 显示 了 这 种 方法 的 总 体 架 构 ， 为 了 将 CCNx 结 点 软件 模块 与 OpenFlow 交换 机 
联系 起 来 ， 需 要 用 到 一 层 抽 象 层 ， 也 称 为 封装 器 。 该 封装 器 将 交换 机 接口 与 CCNx 的 接口 
配对 使 用 ， 并 将 CCN 消息 中 的 内 容 名 字 解 码 和 哈 希 到 OpenFlow 交换 机 能 够 处 理 的 字段 中 

170) (例如 ，IP 地 址 、 端 口号 )， 这 些 字段 所 提供 的 大 的 命名 空间 降低 了 两 个 不 同 内 容 名 字 之 间 出 
现 冲 突 的 概率 。OpenFlow 交换 机 中 的 转发 表 根 据 哈 希 后 字段 的 内 容 进 行 设置 并 转发 分 组 ， 
这 时 交换 机 就 不 知道 这 些 字段 的 内 容 不 再 是 合法 的 耳 地 址 、TCP 端口 号 等 ， 它 们 还 是 和 以 
前 一 样 ， 根 据 到 达 IP 分 组 相关 字段 的 值 来 进行 转发 。 





提供 者 





图 6-12 ICN 封装 器 方法 


抽象 层 解决 了 如 何 利 用 当前 的 :OpenFlow 交换 机 来 提供 CCN 功能 的 问题 ， 但 为 了 实现 
高 效 运行 ， 还 有 两 个 新 的 挑战 需要 解决 : 一 是 如 何在 不 产生 很 大 开销 的 前 提 下 精确 测量 内 容 
的 流行 度 ， 二 是 如 何 建 立 和 优化 路 由 表 来 进行 修正 。 为 了 解决 这 两 个 问题 ， 现 有 体系 结构 需 
要 在 SDN 控制 器 中 增加 三 个 新 的 模块 。 

e WE: 内 容 流行 度 可 以 直接 通过 OpenFlow 流 统计 信息 进行 推 新 。 该 测量 模块 周期 性 地 

查询 和 处 理 从 人 口 OpenFlow 交换 机 发 送 过 来 的 统计 信息 ， 并 返回 最 流行 内 容 的 列表 。 

© 优化 : 使 用 最 流行 内 容 的 列表 作为 优化 算法 的 输入 。 该 模块 的 目标 是 使 总 体 时 延 之 
和 在 下 列 限 制 条 件 下 能 够 实现 最 小 化 : (1 ) 每 个 流行 的 内 容 都 准确 地 缓存 在 各 个 结 
点 上 ; (2) 每 个 结 点 上 的 缓存 内 容 不 会 超过 结 点 的 存储 能 力 ; (3 ) 缓存 机 制 不 会 导 
致 链 路 拥塞 。 
修正 (Deflection): 使 用 优化 结果 来 为 每 个 内 容 建立 内 容 名 字 (通过 内 容 名 字 哈 希 
171 计算 得 到 的 地 址 和 端口 号 ) 和 到 缓存 了 内 容 的 结 点 的 输出 接口 (例如 ip. 目的 地 址 

=hash( 内 容 名 字 )，action= 转发 到 接口 1) 之 间 的 映射 。 
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最 后 ， 该 映射 会 通过 OpenFlow 协议 安装 到 交换 机 的 流 表 上 ， 这 样 后 续 的 兴趣 分 组 就 可 
以 转发 到 合适 的 缓存 结 点 。 

图 6-13 显示 了 CCNx 和 OpenFlow 交换 机 之 间 的 分 组 流 ， 其 中 OpenFlow 交换 机 会 将 所 
有 它 从 端口 接收 到 的 分 组 转发 给 封装 器 ， 然 后 封装 器 将 分 组 转发 给 CCNx 模块 ，OpenFlow 
交换 机 需要 帮助 封装 器 来 识别 分 组 的 交换 机 源 端 口 。 为 了 完成 这 一 工作 ，OpenFlow 交换 机 
会 将 所 有 接收 到 分 组 的 ToS 值 设 置 为 和 人 端口 号 ， 然 后 再 将 它们 转发 给 封装 器 的 端口 。 


A 接口 1: 100149695 — 
; -接口 2: 200249695 















接口 W: 888849695 






a) 从 OpenFlow 交 换 机 到 CCNx 的 分 组 流 





设置 接 日 1; 100149695 

oS 字 如 =- 一 一 

a 接口 2: 2002429695 
> TERS liege Å í 


BECIW: 888849695 


b) 从 CCNx 到 OpenFlow 交 换 机 的 分 组 流 
图 6-13 CCNx 和 OpenFlow 交换 机 之 间 的 分 组 流 


封装 器 利用 ToS 字段 的 值 将 CCNx 的 接口 映射 到 OpenFlow 交换 机 的 接口 (或 者 说 是 端 
口 )， 其 中 接口 W 是 封装 器 和 CCNx 模块 之 间 的 特殊 接口 ， 它 负责 从 封装 器 接收 每 个 内 容 分 
组 ， 并 将 兴趣 分 组 从 CCNx 发 送 给 封装 器 。 

图 6-13a 显示 了 封装 器 对 从 OpenFlow 交换 机 进入 的 分 组 如 何 处 理 。 对 于 兴趣 分 组 来 
说 ,封装 器 会 从 ToS 字段 中 提取 出 接口 值 ， 然 后 再 将 分 组 转发 给 相应 CCNx 的 接口 。 如 
果 CCNx 结 点 保留 了 所 请 求 内 容 的 副本 ， 它 会 构建 一 个 内 容 分 组 ， 并 将 其 返回 给 入 站 的 接 
口 ， 否 则 结 点 会 将 该 兴趣 分 组 转发 给 接口 W， 并 对 PIT 进行 相应 的 更 新 。 一 旦 封装 器 从 
OpenFlow 交换 机 接收 到 内 容 分 组 ， 则 直接 将 分 组 转发 给 接口 W。 

图 6-13b 显示 了 封装 器 对 从 CCNx 模块 接收 到 的 分 组 的 处 理 过 程 。 对 于 内 容 分 组 来 说 ， 
ESM ToS 字段 进行 相应 的 设置 ， 并 确定 输出 端口 。 然 后 ， 它 会 对 所 有 分 组 进行 解码 ， 从 而 
提取 出 与 分 组 相关 的 内 容 名 字 ， 该 名 字 是 经 过 哈 希 得 到 的 ， 而 且 分 组 的 源 IP 地 址 被 设置 为 
对 应 的 哈 希 值 。 最 后 ， 封 装 器 将 分 组 转发 给 OpenFlow 交换 机 。 内 容 分 组 返回 给 对 应 的 入 站 
接口 ， 兴 趣 分 组 的 ToS 值 设置 为 0， 这 样 它们 就 会 被 转发 给 下 一 跳 OpenFlow 交换 机 。 

因此 ， 使 用 封装 需 抽 象 层 可 以 在 不 需要 改变 CCNx 模块 或 OpenFlow 交换 机 的 基础 上 提 
供 基本 的 ICN 功能 和 修正 功能 。 
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6.9 重要 术语 


学 完 本 章 后 ， 你 应 当 能 够 定义 下 列 术 语 。 
抽象 

抽象 层 

CloudNaaS 

内 容 中 心 网 络 (CCN) 

横向 带宽 

分 布 式 拒绝 服务 攻击 (DDoS ) 

分 发 抽象 

转发 抽象 


Frenetic 


信息 中 心 网 络 (CN) 
基础 设施 即 服务 (aas) 
测量 与 监视 

网 络 服务 抽象 层 

离 径 缓存 

沿路 缓存 

PolicyCop 

规范 抽象 

流量 工程 
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w 拟 化 


虚拟 化 的 基本 思想 是 任何 复杂 系统 中 的 若干 组 件 都 能 完成 一 些 特 定 的 子 功能 ， 
这 些 子 功能 构成 了 系统 的 总 体 功能 。 
一 一 《人 工科 学 》，Herbert Simon 


第 7 章 网 络 功能 虚拟 化 : 概念 与 体系 结构 
第 8 章 NFV 功能 
第 9 章 网 络 虚 拟 化 


网 络 功能 虚拟 化 (network functions virtualization, NEV) 技术 的 兴起 和 各 项 工作 都 比 软 
件 定义 网 络 ( software-defined network, SDN) 起 步 要 晚 。 但 是 ，NFV 和 虚拟 网 络 的 更 广义 
的 概念 在 现代 网 络 中 扮演 着 与 SDN 同样 重要 的 角色 。 本 部 分 内 容 主要 为 读者 全 面 展 现 NFV 
的 概念 、 技 术 和 应 用 ， 并 对 网 络 虚 拟 化 进行 了 一 些 探 讨 。 第 7 章 介 绍 了 虚拟 机 的 概念 ， 以 及 
如 何 利用 虚拟 机 技术 来 构建 基于 NFYV 的 网 络 环境 。 第 8 章 详细 阐述 了 NFYV 各 要 素 的 功能 以 
及 NFV 与 SDN 之 间 的 关联 性 。 第 9 章 介绍 了 一 些 传统 的 虚拟 网 络 概 念 ， 以 及 实现 网 络 虚拟 
化 的 新 方法 ， 最 后 介绍 了 软件 定义 的 基础 设施 概念 。 
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网 络 功 能 虚拟 化 : 概念 与 体系 结构 





利用 操作 系统 在 一 套 独 立 的 物理 硬件 设施 上 模拟 出 多 个 机 器 早 就 被 认为 是 非常 
实用 的 技术 ，IBM 的 VM/370 操作 系统 就 是 一 个 例子 。 这 种 技术 可 以 实现 在 一 台 物 
理 主机 上 同时 安装 多 个 不 同 的 操作 系统 (或 相同 操作 系统 的 不 同 版 本 )， 而 支持 动态 
地 址 转换 的 硬件 则 让 这 种 模拟 器 能 够 在 许多 情况 下 高 效 使 用 ， 甚 至 是 生产 模式 中 。 
—— (IBM System/370 的 体系 结构 》,《 ACM 通信 》 1978 年 1 月 
Richard Case 和 Adris Padegs 
本 章 目 标 
学 完 本 章 后 ， 你 应 当 能 够 : 
e 理解 虚拟 机 的 概念 。 
e 说 出 一 类 和 二 类 管理 程序 之 间 的 不 同 。 
o 列举 和 说 明 NFV 的 主要 优点 。 
o 列举 和 说 明 NFV 的 主要 需求 。 
e 总结 出 NEV 的 体系 结构 。 
本 章 以 及 后 续 两 章 将 重点 介绍 虚拟 化 (virtualization) 技术 在 现代 网 络 中 的 应 用 。 虚 拟 
化 涵盖 了 多 种 技术 来 管理 计算 资源 ， 并 在 软件 和 物理 硬件 之 间 提 供 软 件 解析 层 (也 称 为 抽象 
层 )。 虚 拟 化 技术 将 物理 资源 转换 为 逻辑 或 虚拟 的 资源 ， 并 使 得 运行 在 抽象 层 之 上 的 用 户 、 
应 用 或 管理 软件 能 在 不 需要 掌握 底层 资源 物理 细节 的 条 件 下 管理 和 使 用 这 些 资源 。 在 这 几 章 
内 容 中 ， 我 们 将 着 重 介绍 虚拟 机 (virtual machine, VM) 技术 的 使 用 及 其 在 网 络 功能 虚拟 化 
这 一 新 概念 中 的 基础 作用 ， 第 9 章 则 主要 介绍 虚拟 网 络 和 网 络 虚拟 化 的 概念 。 


“虚拟 化 ”利用 多 种 技术 在 软件 和 物理 硬件 之 间 提 供 一 个 抽象 层 ， 从 而 实现 计算 资源 的 
管理 。 这 些 技术 能 有 效 地 在 软件 中 模拟 或 仿真 出 一 个 硬件 平台 ， 例 如 服务 器 、 存 储 设备 或 
网 络 资源 。 | | | 多 il 


7.1 NFV 的 背景 与 动机 


NEV 源 自 众多 网 络 管理 人 员 和 通信 公司 在 高 容量 多 媒体 时 代 就 如 何 改 善 网 络 运 维 这 一 
问题 而 引发 的 讨论 。 这 些 讨论 促成 了 早期 NFV 白皮书 的 发 布 ， 即 《网 络 功能 虚拟 化 : 概述 、 
优势 、 推 动 者 、 挑 战 以 及 行动 呼吁 》[ ISGN12 ]。 在 这 本 白皮书 中 ，NFYV 的 总 体 目标 被 定义 
为 利用 标准 的 IT 虚拟 化 技术 将 众多 网 络 设备 类 型 合并 成 工业 标准 级 的 大 容量 服务 器 、 交 换 
机 和 存储 设备 ， 并 在 数据 中 心 、 网 络 结 点 和 终端 用 户 处 所 部 署 。 

白皮书 指出 这 种 新 方法 产生 的 原因 是 网 络 中 有 大 量 并 且 数 目 仍 在 不 断 增长 的 私有 人 硬件 设 
备 ， 这 种 现象 导致 以 下 负面 结果 的 产生 : 
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o 新 的 网 络 服务 可 能 需要 其 他 不 同类 型 的 硬件 设备 ， 腾 出 足够 的 空间 和 电力 来 容纳 这 
些 设 备 变 得 越 来 越 难 。 
新 硬件 的 出 现 会 带 来 额外 的 资金 开销 。 
一 旦 新 的 硬件 设备 开始 应 用 ， 网 络 管理 人 员 就 会 陷 人 缺少 必 备 技能 来 设计 、 集 成 和 
管理 日 益 复杂 的 硬件 设备 的 窘境 。 
硬件 设备 很 快 会 结束 它 的 生命 周期 ， 这 就 使 得 大 部 分 采购 -设计 一 集成 -部 署 周期 
不 断 重复 ， 并 且 无 法 带 来 收益 和 回报 。 
由 于 技术 和 服务 创新 使 得 以 日 益 增 长 的 网 络 为 中 心 的 IT 环境 需求 很 快 就 得 到 满足 ， 
对 各 种 硬件 平台 的 需求 让 新 的 网 络 服务 变 得 无 利 可 图 。 

NFV 方法 用 一 些 标准 化 的 平台 类 型 以 及 虚拟 化 技术 所 提供 的 必要 网 络 功能 ， 消 除了 对 
各 种 硬件 平台 的 依赖 。 白 皮 书 还 传递 出 无 论 是 在 固定 网 络 还 是 在 移动 网 络 中 ，NFV 都 可 以 
适用 于 任意 数据 平面 的 分 组 处 理 和 控制 平面 功能 。 

除了 可 以 用 于 解决 上 述 问题 之 外 ,, NEV 还 有 其 他 一 些 优点 ,在 7.2 节 和 7.3 节 分 别 介绍 
完 VM 技术 和 NEV 概念 之 后 ， 我 们 将 会 在 7.4 节 具 体 陈述 这 些 优 点 。 


7.2 虚拟 机 


从 传统 角度 来 说 ， 应 用 程序 直接 运行 在 个 人 电脑 (personal computer, PC) 或 服务 器 的 
操作 系统 (operating system, OS) 上 ， 每 台 PC 或 服务 器 每 次 只 能 运行 一 个 操作 系统 。 因 此 ， 
应 用 程序 开发 者 不 得 不 重 写 应 用 程序 的 部 分 代码 以 使 其 能 在 多 种 操作 系统 或 平台 上 运行 ， 这 
就 延长 了 将 新 版 本 或 新 功能 推 向 市 场 的 时 间 ， 提 高 了 出 现 故障 的 概率 ， 增 加 了 测试 代码 质量 
的 相关 工作 ， 也 增加 了 应 用 程序 的 成 本 。 为 了 支持 多 种 操作 系统 ， dapi iip 
建 、 管 理 、 支 持 多 种 硬件 和 操作 系统 基础 设施 ， 这 是 一 项 代价 很 高 的 资源 密集 型 工作 。 一 
能 有 效 解 决 这 一 问题 的 方法 是 硬件 虚拟 化 〈hardware virtualization), coven ie 
PC 或 服务 器 上 同时 运行 多 个 操作 系统 或 一 个 操作 系统 的 多 个 会 话 。 一 台 运 行 了 虚拟 化 软件 
的 主机 能 够 在 一 个 硬件 平台 上 同时 承载 许多 应 用 程序 ， 即 使 这 些 应 用 程序 运行 在 不 同 的 操作 
系统 上 。 本 质 上 ， 主 操作 系统 能 够 支持 许多 虚拟 机 (virtual machine, VM)， 每 个 虚拟 机 都 具 
备 特定 操作 系统 的 特征 ,在 某 些 虚拟 化 版 本 中 ， 还 能 具备 特定 硬件 平台 的 特征 。 


硬件 虚拟 化 ， 使 用 软件 将 计算 机 的 资源 分 割 为 多 个 独立 和 相互 隔离 的 实体 (也 称 虚拟 
机 )。 它 允许 相同 或 不 同 操作 系统 的 副本 在 一 台 计 算 机 上 运行， 并 且 能 防止 不 同 虚 拟 机 的 
应 用 程序 之 间 相 互 干扰 。 


虚拟 机 ”运行 在 一 台 计算 机 上 的 操作 系统 实例 ， 这 些 操作 系统 实例 能 运行 各 自 的 应 用 
程序 ， 且 相互 隔离 


虚拟 化 不 是 新 发 明 出 来 的 技术 ， 早 在 20 世纪 70 年 代 ，IBM 的 大 型 机 就 提供 了 允许 程序 
使 用 部 分 系统 资源 的 功能 。 从 那 时 起 ， 这 项 功能 就 以 各 种 形式 在 平台 上 得 到 应 用 。 在 21 世 
纪 早 期 ， 虚 拟 化 技术 在 x86 服务 器 上 实现 商业 化 应 用 后 ， 才 进入 主流 的 计算 领域 。 由 于 微软 
Windows 推动 的 “一 台 服 务 器 上 一 种 应 用 ”战略 ， 许 多 组 织 机构 都 遇 到 了 服务 器 部 署 过 量 的 
问题 。 摩 尔 定律 造成 了 硬件 的 升级 速度 超过 软件 的 资源 需求 ， 这 就 使 得 许多 服务 器 出 现 了 极 
大 的 浪费 ， 通 常 一 台 服 务 器 可 用 资源 的 利用 率 都 不 超过 5%。 男 外 ， 数 据 中 心 也 充斥 了 过 量 
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的 服务 器 ， 消 耗 了 大 量 能 源 和 冷却 设施 ， 相 关公 司 因 此 不 得 不 花费 大 量 精力 来 管理 和 维持 这 
些 基 础 设施 ， 虚 拟 化 技术 则 有 助 于 缓解 这 种 压力 。 


7.2.1 虚拟 机 监视 器 


实现 虚拟 化 的 方案 是 虚拟 机 监视 器 (virtual machine monitor, VMM)， 现 在 则 广泛 称 为 
管理 程序 (hypervisor)。 这 款 软件 工作 在 硬件 和 虚拟 机 之 间 ， 角 色 类 似 于 资源 代理 (如 图 7-1 
所 示 )。 简 单 地 说 ， 管 理 程序 允许 多 个 虚拟 机 在 一 个 单独 的 物理 主机 上 安全 地 共存 ， 并 共享 
主机 资源 。 在 一 台 主 机 上 同时 存在 的 虚拟 机 数量 也 称 为 固 结 比 (consolidation ratio)， 例 如 一 
台 主 机 支持 6 个 虚拟 机 ， 则 可 以 认为 它 的 固 结 比 为 6:1 (如 图 7-2 所 示 )。 最 早 的 商用 领域 管 
理 程序 固 结 比 在 4:1 一 12:1 之 间 。 如 果 一 个 公司 将 它 所 有 的 服务 器 都 虚拟 化 ， 即 使 采用 最 低 
的 固 结 比 ， 它 也 能 节省 数据 中 心里 75% 的 服务 器 。 更 为 重要 的 是 ， 这 些 公司 还 可 以 大 幅 降 
低 每 年 累计 消耗 的 数 百 万 甚至 数 千 万 美元 的 成 本 。 随 着 物理 服务 器 数量 的 减少 ， 能 源 和 冷却 
设施 的 需求 也 同样 降低 了 ， 而 且 还 能 节约 很 多 光缆 、 交 换 机 和 占 地 面积 。 将 服务 器 整合 已 经 
并 且 还 将 继续 成 为 一 种 对 解决 高 成 本 和 浪费 问题 行 之 有 效 的 方法 。 现 在 ， 更 多 的 虚拟 服务 器 
已 经 被 部 署 起 来 ， 而 且 这 种 部 署 方 式 的 脚步 还 在 加 快 。 


应 用 程序 应 用 程序 
和 进程 和 进程 


虚拟 机 2 虚拟 机 n 


虚拟 化 的 主机 





6:1 的 固 结 比 
图 7-2 虚拟 机 整合 
虚拟 机 监视 器 ”一 种 用 于 提供 虚拟 机 环境 的 系统 程序 ， 也 称 为 hypervisor。 
虚拟 机 方法 是 公司 和 个 人 处 理 遗 留 应 用 程序 的 通用 方法 ， 它 通过 让 一 台 计算 机 所 能 处 理 


B7¢ MADEE: BASKAAY 121 


的 应 用 类 型 最 大 化 来 优化 硬件 的 使 用 。VMware 和 微软 等 公司 提供 的 商用 管理 程序 已 经 被 广 
泛 使 用 ， 这 些 软件 的 拷贝 已 经 卖 出 了 几 百 万 份 。 除 了 在 一 个 主机 上 运行 多 个 虚拟 机 的 功能 
外 ， 服 务 器 虚拟 化 的 另 一 个 重要 方面 是 虚拟 机 还 可 以 看 作 是 网 络 资源 。 服 务 器 虚拟 化 将 服务 
器 资源 隐藏 起 来 ， 这 些 资 源 包括 物理 服务 器 、 处 理 器 和 操作 系统 的 数量 与 标识 ,普通 用 户 无 
法 看 到 这 些 资源 ， 这 就 使 得 将 一 台 主 机 划分 为 多 个 保留 了 特定 硬件 资源 的 独立 服务 器 成 为 可 
能 ， 也 让 由 于 负载 均衡 或 因 机 器 故障 产生 的 动态 切换 时 引发 的 虚拟 机 快速 迁移 成 为 可 能 。 服 
务 器 虚拟 化 已 经 成 为 处 理 大 数据 应 用 和 实现 云 计算 基础 设施 的 核心 要 素 。 


7.2.2 体系 结构 方法 


虚拟 化 就 是 抽象 ， 就 像 操作 系统 通过 程序 层 和 接口 将 硬盘 的 输入 /输出 命令 从 用 户 处 抽 
象 出 来 一 样 ， 虚 拟 化 也 将 物理 硬件 从 它 所 支持 的 虚拟 机 中 抽象 出 来 。 正 如 前 文 所 述 ， 虚 拟 机 
监视 器 或 管理 程序 就 是 提供 这 种 抽象 的 软件 。 它 就 像 一 个 代理 或 者 交警 ， 蔡 虚拟 机 向 物理 主 
机 请 求 并 消耗 资源 。 

虚拟 机 就 是 一 种 模拟 物理 服务 器 特征 的 软件 构成 ， 它 会 被 分 配 一 些 处 理 器 、 内 存 、 存 储 
资源 和 网 络 连接 。 虚 拟 机 一 旦 创建 ， 就 能 像 一 台 真 实 的 物理 服务 器 一 样 开机 、 加 载 操作 系统 
和 应 用 程序 ， 在 操作 方式 上 也 与 物理 服务 器 一 样 。 但 与 物理 服务 器 所 不 同 的 是 ， 虚 拟 服 务 器 
只 能 感知 分 配给 它 的 资源 ， 而 无 法 看 到 物理 主机 的 其 他 资源 。 这 种 隔离 性 使 得 一 台 主 机 能 同 
时 运行 多 台 虚 拟 机 ， 这 些 虚拟 机 可 以 运行 相同 的 或 不 同 的 操作 系统 ， 并 实现 内 存 、 存 储 和 网 
络 带宽 的 共享 。 虚 拟 机 中 的 操作 系统 可 以 访问 管理 程序 分 配给 它 的 资源 ， 管 理 程序 能 够 很 方 
便 地 将 虚拟 机 到 物理 设备 的 输入 /输出 进行 转换 ， 并 将 物理 设备 的 输入 /输出 传递 给 正确 的 
虚拟 机 。 为 了 实现 这 一 过 程 ， 一 些 “ 本 地 ”操作 系统 在 主机 硬件 上 执行 的 特权 指令 会 触发 硬 
件 中 断 ， 随 后 作为 虚拟 机 代理 的 管理 程序 会 运行 这 些 指 令 。 虽 然 硬件 和 软件 会 随 着 时 间 不 断 
得 到 改进 ， 并 减少 这 些 操作 产生 的 开销 ， 但 仍然 会 导致 主机 性 能 在 虚拟 化 过 程 中 出 现 衰退 。 

虚拟 机 由 文件 组 成 。 典 型 的 虚拟 机 只 包含 一 些 文件 ， 其 中 的 配置 文件 用 于 描述 虚拟 机 的 
属性 ， 它 包含 服务 器 的 定义 、 分 配给 虚拟 机 的 处 理 器 数目 和 内 存 是 多 少 、 虚 拟 机 可 访问 的 输 
入 /输出 设备 ， 以 及 虚拟 服务 器 所 拥有 的 网 卡 (network interface cards, NIC) 数目 等 信息 。 
这 个 文件 还 描述 了 虚拟 机 能 访问 的 存储 资源 ， 通 常 这 些 存储 资源 以 虚拟 磁盘 的 形式 呈现 ， 而 
这 些 虚拟 磁盘 在 物理 文件 系统 中 也 是 以 附加 文件 的 形式 存在 。 当 虚拟 机 开机 或 实例 化 后 ， 附 
加 文件 就 会 被 创建 ， 以 用 于 登录 、 内 存 分 页 或 其 他 功能 。 这 种 虚拟 机 以 文件 形式 存在 的 方式 
使 得 一 些 功 能 在 虚拟 环境 中 比 在 物理 环境 中 可 以 更 简单 和 迅捷 地 实现 。 从 计算 机 最 早期 开 
始 ， 数 据 备份 就 是 一 种 重要 的 功能 ,而 虚拟 机 已 经 是 文件 了 ， 对 其 进行 拷贝 则 不 仅 实现 了 数 
据 的 备份 ， 还 将 整个 包括 操作 系统 、 应 用 程序 、 硬 件 配置 在 内 的 服务 器 都 进行 了 复制 。 

为 了 创建 一 个 物理 服务 器 的 副本 ， 需 要 获取 和 安装 服务 器 附属 的 硬件 ， 并 加 载 操 作 系 
统 、 应 用 程序 和 数据 ， 然 后 在 交付 给 用 户 之 前 修补 为 最 近 的 一 次 修改 ， 这 种 配置 方式 可 能 会 
花费 几 周 甚至 几 个 月 的 时 间 。 而 虚拟 机 都 是 文件 ， 花 几 分 钟 的 时 间 复 制 这 些 文件 就 可 以 完美 
地 实现 服务 器 的 拷贝 。 虽 然 有 几 处 配置 需要 修改 (服务 器 名 和 IP 地址 )， 但 是 相对 于 花 上 几 
个 月 的 时 间 ， 管理 人 员 能 在 分 钟 级 或 小 时 级 的 时 间 内 熟练 地 架 起 新 的 虚拟 机 。 

另 一 种 能 够 实现 虚拟 机 快速 部 署 的 方法 是 利用 模板 。 模 板 提供 了 标准 的 软 硬 件 设置 集 
合 ， 以 用 于 创建 新 的 虚拟 机 ， 利 用 模板 创建 虚拟 机 的 工作 包括 为 新 虚拟 机 提供 唯一 的 标识 
符 ， 获 取 从 模板 建立 虚拟 机 所 需 的 软件 ， 以 及 增加 配置 中 出 现 的 变化 。 








181 








122 BIRD E WB 化 


除了 服务 器 整合 以 及 快速 配置 之 外 ， 虚 拟 环境 成 为 新 型 数据 中 心 的 基础 设施 模型 还 有 其 
他 一 些 原因 ， 其 中 之 一 就 是 它 提 高 了 可 用 性 。 虚 拟 机 主机 集中 在 一 起 形成 了 计算 机 资源 池 ， 
每 台 服 务 器 上 都 同时 部 署 了 多 个 虚拟 机 ， 一 且 某 台 服 务 器 出 现 故障 ， 这 人 台 服 务 器 上 的 虚拟 机 
就 能 快速 和 自动 地 在 集群 中 的 其 他 主机 上 重启 。 相 比 于 利用 物理 服务 器 来 保证 这 种 服务 可 用 
性 ， 虚 拟 环境 能 够 以 更 少 的 成 本 和 更 低 的 复杂 性 来 实现 更 高 的 可 用 性 。 对 于 那些 需要 更 高 可 
用 性 的 服务 器 来 说 ， 必 须 具 备 故 障 容 忍 的 能 力 ， 而 利用 在 背后 同步 运行 的 虚拟 机 能 够 保证 即 
使 物理 服务 器 出 现 故障 ,任何 的 事务 性 操作 也 都 不 会 丢失 ， 而 且 这 种 方法 也 没有 引入 额外 的 
复杂 性 。 虚 拟 环境 最 吸引 人 的 一 项 特性 就 是 能 够 在 不 干扰 和 影响 用 户 使 用 虚拟 机 的 前 提 下 ， 
将 一 台 正 在 运行 的 虚拟 机 从 一 个 物理 主机 迁移 到 男 一 台 主 机 上 。VMware 环境 中 的 vMotion 
(在 其 他 环境 中 被 称 为 Live Migration) 可 以 用 于 许多 重要 的 任务 。 从 可 用 性 角度 来 说 ， 将 虚 
拟 机 不 宕 机 地 从 一 台 主 机 迁移 到 另 一 台 主 机 可 以 让 管理 员 在 不 影响 操作 的 前 提 下 完成 物理 主 
机 上 的 工作 。 这 样 ， 日常 的 维护 就 可 以 在 某 个 工作 日 的 上 午 进行 ， 而 不 用 像 以 前 那样 要 预定 
一 个 周末 的 时 间 ， 新 的 服务 器 可 以 随时 加 入 这 个 环境 中 ， 旧 的 服务 器 也 能 随时 移 除 ， 而 且 这 
些 行为 都 不 会 影响 应 用 程序 的 运行 。 除 了 手动 执行 虚拟 机 迁移 之 外 ， 还 可 以 根据 资源 利用 率 
实现 自动 的 虚拟 机 迁移 ， 如 果 一 台 虚 拟 机 消耗 的 资源 超过 正常 水 平 ， 其 他 虚拟 机 就 会 自动 地 
迁移 到 集群 中 其 他 资源 充足 的 主机 上 ， 从 而 保证 所 有 虚拟 机 的 性 能 水 平 ， 并 实现 更 好 的 总 体 
性 能 。 这 些 例 子 只 是 虚拟 环境 所 带 来 好 处 的 皮毛 而 已 。 

前 文 提 到 ， 管 理 程序 位 于 硬件 和 虚拟 机 之 间 ， 而 根据 管理 程序 和 主机 之 间 是 否 还 有 其 他 
操作 系统 ， 可 以 将 管理 程序 划分 为 两 类 。 图 7-3a 所 示 的 一 类 (Type 1) 管理 程序 直接 以 软件 
层 的 形式 加 载 到 物理 服务 器 中 ， 与 操作 系统 较为 相似 。 一 且 这 种 管理 程序 安装 和 配置 完毕 ， 
只 要 花 几 分钟 时 间 就 可 以 在 这 台 主 机 上 和 运行 虚拟 机 。 在 一 个 成 熟 的 环境 中 ， 虚 拟 化 的 主机 会 
聚合 成 集群 以 提高 可 用 性 和 负载 均衡 能 力 ， 而 管理 程序 可 以 在 一 台新 主机 上 运行 ， 在 这 人 台 主 
机 加 入 到 某 个 集群 后 ， 这 人 台 主 机 上 的 虚拟 机 就 能 在 服务 不 中 断 的 情况 下 迁移 到 集群 中 其 他 的 
主机 上 。 一 类 管理 程序 的 例子 包括 VMware 的 ESXi、 微 软 的 Hyper-V 以 及 各 种 开源 的 Xen 
变种 。 这 种 直接 将 管理 程序 加 载 到 裸 机 的 方法 对 于 一 般 人 来 说 非常 难以 理解 ， 他 们 更 适应 
那 种 将 所 有 工作 像 传统 的 应 用 程序 那样 加 载 到 Windows 或 Unix/Linux 操作 系统 环境 中 的 方 
法 。 图 7-3b 展示 了 二 类 (Type 2 ) 管理 程序 的 部 署 方法 ， 一 些 二 类 管理 程序 包括 VMware 工 


(182) 作 站 和 Oracle 的 VM 虚拟 盒 。 
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a) 一 类 虚拟 机 监视 器 b ) 二 类 虚拟 机 监视 器 
图 7-3 一 类 和 二 类 虚拟 机 监视 器 


一 类 管理 程序 和 二 类 管理 程序 之 间 有 一 些 比较 重要 的 区 别 。 一 类 管理 程序 部 署 在 物理 主 
机 上 ， 能 够 直接 控制 主机 的 物理 资源 ， 而 二 类 管理 程序 与 物理 资源 之 间隔 着 操作 系统 ， 因 此 
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需要 依赖 操作 系统 来 与 硬件 进行 交互 。 一 类 管理 程序 的 性 能 通常 要 优 于 二 类 管理 程序 ， 因 为 
一 类 管理 程序 没有 附加 其 他 层 。 由 于 一 类 管理 程序 不 需要 与 操作 系统 竞争 硬件 资源 ， 管 理 程 
序 能 够 掌控 更 多 主机 资源 ， 而 且 能 够 运行 更 多 的 虚拟 机 。 一 类 管理 程序 也 被 认为 比 二 类 管理 
程序 更 安全 ， 一 类 管理 程序 上 的 虚拟 机 在 请 求 资源 时 ， 所 有 的 操作 都 在 外 部 执行 ， 不 会 影响 
其 他 虚拟 机 或 管理 程序 ， 但 在 二 类 管理 程序 中 就 不 一 定 了 ， 一 些 恶 意 的 客户 可 能 会 影响 其 他 
客户 。 虽 然 两 种 管理 程序 的 真实 成 本 对 比 起 来 比较 复杂 ， 但 是 一 类 管理 程序 不 需要 额外 花 钱 
在 操作 系统 上 。 二 类 管理 程序 可 以 利用 虚拟 化 的 优点 让 一 台 服 务 器 不 再 专用 于 某 种 特定 的 功 
能 ， 而 那些 需要 多 种 环境 的 开发 者 则 可 以 在 个 人 电脑 的 工作 区 中 安装 二 类 管理 程序 ， 而 这 种 
管理 程序 可 以 像 应 用 程序 那样 在 Linux 或 Windows 桌面 上 运行 。 某 个 管理 程序 上 创建 和 使 
用 的 虚拟 机 可 以 迁移 或 拷贝 到 其 他 的 管理 程序 环境 中 ， 这 就 减少 了 服务 器 的 部 署 时 间 ， 增 加 
了 部 署 的 准确 性 ， 也 减少 了 项 目 推 向 市 场 的 时 间 。 


7.2.3 ”容器 虚拟 化 


一 种 更 新 疾 的 虚拟 化 方法 是 容器 虚拟 化 ( container 
virtualization)。 在 这 种 方法 中 ， 软 件 被 认为 是 虚拟 化 的 
容器 ( container)， 它 们 运行 在 主机 的 操作 系统 内 核 之 
上 ， 并 为 应 用 程序 提供 执行 环境 (如 图 7-4 tas). 与 基 
于 管理 程序 的 虚拟 机 不 同 ， 容 器 的 目标 不 是 模拟 物理 服 主机 操作 系统 内 核 
务 器 ， 相 反 ， 所 有 容器 化 的 应 用 程序 共享 操作 系统 的 内 


核 ， 这 就 节省 了 那些 消耗 在 为 每 个 应 用 程序 运行 单独 操 


作 系 统 上 的 资源 ， 极 大 地 降低 了 资源 开销 。 图 7-4 容器 虚拟 化 
容器 为 软件 执行 环境 所 提供 的 硬件 或 软件 。 





容器 虚拟 化 ”一 种 将 应 用 程序 的 底层 操作 环境 进行 虚拟 化 的 技术 ， 通常 是 操作 系统 的 
内 核 ， 它 能 划分 出 相互 隔离 的 容器 ， 应 用 程序 可 以 在 容器 中 运行 。 


由 于 容器 都 运行 在 相同 的 内 核 上 ， 因 此 共享 了 绝 大 部 分 操作 系统 资源 。 相 对 于 管理 程序 / 
客户 这 种 操作 系统 虚拟 机 部 署 方式 ， 容 器 更 小 且 量 级 更 轻 。 因 此 ， 一 个 只 能 支持 有 限 个 管理 
程序 和 客户 操作 系统 的 OS 可 以 运行 多 个 容器 。 


7.3 NFV 概念 


在 第 2 章 中 ， 网 络 功能 虚拟 化 (network functions virtualization, NFV) 被 定义 为 运行 在 
虚拟 机 上 且 利 用 软件 实现 网 络 功能 的 虚拟 化 技术 。NFYV 与 传统 设计 、 部 署 和 管理 网 络 服务 
的 方法 有 很 大 不 同 ， 它 将 网 络 地 址 转换 (Network Address Translation, NAT)、 防 火 墙 、 入 侵 
检测 、 域 名 服务 (Domain Name Service, DNS)、 高 速 缓存 等 网 络 功 能 从 专用 的 硬件 设施 中 分 
离 出 来 ， 以 软件 的 形式 在 虚拟 机 中 运行 和 实现 。NFYV 建立 在 标准 的 虚拟 机 技术 之 上 ， 并 扩 
展 了 它们 在 网 络 领域 的 应 用 范围 。 

7.2 节 讨 论 的 虚拟 机 技术 让 专 有 应 用 和 数据 库 服务 器 能 够 迁移 到 商用 现货 (commercial 
off-the-shelf, COTS) x86 服务 器 中 ， 这 一 技术 还 可 以 运用 到 下 列 网 络 设备 中 。 

e 网 络 功 能 设备 : 包括 交换 机 、 路 由 器 、 网 络 接 和 人 点、 用户 端 设 备 (customer premises 
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equipment, CPE) 和 深度 分 组 检测 (deep packet inspection) 等 。 
e 与 网 络 相关 的 计算 设备 : 包括 防火 墙 、 人 侵 检 测 系统 和 网 络 管理 系统 等 。 
© 网 络 附属 存储 设备 : 连接 到 网 络 的 文件 和 数据 库 服务 器 。 


”商用 现货 ”可 使 用 、 出 租 、 授 权 或 贩卖 给 普通 大 众 的 商业 产品 ， 并 且 在 产品 的 生命 周 
期 中 不 需要 进行 特殊 的 修改 或 维护 就 能 满足 经 销 商 的 需求 。 


深度 分 组 检测 ”分析 网 络 流量 从 而 确定 发 送 数 据 的 应 用 的 类 型 ， 它 能 够 区 分 视频 、 音 
频 、 聊 天 、 卫 电话 、 电 子 邮件 、Web 等 数据 ， 并 将 那些 多 佘 的 数 夏 过 滤 掉 5 它 可 以 检测 
到 分 组 的 应 用 层 信息 ， 只 要 分 组 没有 被 加 密 ， 都 能 分 析出 来 。 例 如 ， 它 不 仅 能 分 析出 分 组 
所 包含 的 某 个 Web 页 面 的 内 容 , 还 可 以 知道 这 个 页 面 是 从 哪个 网 站 传输 过 来 的 。 


在 传统 网 络 中 ， 所 有 的 设备 都 部 署 在 私有 / 封闭 的 平台 上 ， 所 有 网 络 单元 都 是 密封 的 盒 
子 ， 这 些 硬件 都 无 法 共享 。 每 台 设备 都 要 求 额外 的 硬件 来 增加 它 的 功能 ， 但 是 当 系 统 负载 较 
低 时 ， 硬 件 就 都 空闲 起 来 了 。 而 有 了 NEFV， 网 络 单元 就 成 了 独立 的 应 用 程序 ， 这 些 应 用 程 
序 可 以 灵活 地 部 署 在 由 标准 服务 器 、 存 储 设 备 、 交 换 机 等 构成 的 统一 平台 上 。 这 样 ， 软 件 和 
硬件 就 分 离开 来 了 ， 而 每 个 应 用 程序 的 处 理 能 力 则 会 随 着 分 配给 它 的 虚拟 资源 数量 而 相应 地 
提高 或 降低 (如 图 7-5 所 示 )。 


e 
传统 网 络 应 用 的 部 团 NEE ee 
消息 CDN VoIP 会 话 边 ; 
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;标准 的 大 标准 的 大 标准 的 大 容量 
无 线 网 络 “容量 服务 器 容量 服务 器 以 太 网 交换 机 
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IDS: 人 侵 检 测 系统 

IPS: 入 侵 防御 系统 

PE: 运营 商 边 界 路 由 器 
QoE: 体验 质量 BRAS: 宽带 远程 接 入 服务 器 
VoIP: IP 电 话 





图 7-5 网 络 功能 虚拟 化 的 构想 图 


P7F MAARE: HEBREA 125 


基于 广泛 的 共识 ， 欧 洲 电 信 标 准 研究 院 (European Telecommunications Standard Institute, 
ETSI) 下 属 的 网 络 功能 虚拟 化 产业 标准 组 (Network Functions Virtualization Industry Standards 
Group, ISG NFV) 领导 (实际 上 也 可 以 算是 独立 完成 ) NEV 标准 的 制定 。ISG NFV 成 立 于 
2012 年 ， 由 7 个 主要 的 电信 和 网络 运营 商 倡 立 ， 该 组 织 的 成 员 已 经 守 括 了 网 络 设备 厂商 、 网 
络 技术 公司 、 其 他 IT 公司 ， 以 及 云 计算 等 服务 提供 商 等 。 

ISG NFV 于 2013 年 10 月 公布 了 第 一 批 技术 规范 ， 并 在 随后 的 2014 年 年 底 及 2015 年 
年 初 陆续 更 新 了 大 部 分 规范 。 表 7-1 列 出 了 截至 2015 年 年 初 的 所 有 技术 规范 ， 表 7-2 列 出 
了 一 些 ISG NFV 文档 以 及 NFV 文献 中 的 术语 及 其 定义 。 

表 7-1 ISG NFV 技术 规范 





技术 标准 号 技术 标准 标题 
GS NFV 002 NEV 性 能 与 移植 性 的 最 佳 实践 
GS NFV-INF 001 GS NFV-PER 002 | 概念 验证 ; 框架 
GS NFV-INF 004 GS NFV-INF 010 | 服务 质量 测度 
GS NFV-INF 005 NEV 中 主要 概念 的 术语 
GS NFV-INF 007 GS NFV 001 用 例 
GS NFV-MAN 001 GS NFV-SWA 001 | 虚拟 网 络 功能 体系 结构 
OSNEVSECON a 
GS NFV-SEC 003 | NFV 安全 ; 安全 与 可 信和 导论 las 

# 7-2 NFV 术语 
术语 定义 
计算 域 NFVI 内 的 域 ， 包 括 服务 器 和 存储 设备 
基础 设施 网 络 域 (IND ) NFVI 内 的 域 ， 包 括 所 有 互 连 计算 /存储 设备 的 网 络 基础 设施 
网 络 功能 (NF) 网 络 基础 设施 内 的 功能 模块 ， 包 括 定 义 良 好 的 外 部 接口 和 功能 行为 ， 通常 是 
物理 网 络 结 点 或 其 他 物理 设施 

网 络 功能 虚拟 化 (NFV) 利用 虚拟 硬件 抽象 将 网 络 功 能 从 硬件 中 分 离 出 来 的 原则 


部 署 了 虚拟 化 网 络 功能 的 环境 中 的 所 有 软 硬 件 。NEFVI 可 以 跨越 多 个 区 域 (也 
即 多 个 人 网 点 )， 而 连接 这 些 不 同 区 域 的 网 络 设施 也 属于 NEVI 的 一 部 分 
以 独立 实体 形式 部 署 和 管理 的 物理 设备 ， 它 提供 了 支持 VNEF 运行 环境 的 


网 络 功能 虚拟 化 基础 设施 (NF VI) 


hiiti NFVI 功能 
NFVI 入 网 点 可 以 将 网 络 功 能 作为 VNF 进行 部 署 的 网 络 人 网 点 
网 络 转发 路 径 遵循 相关 策略 并 构成 NF 链 的 有 序 的 连接 点 序列 
网 络 人 网 点 (N-PoP) 将 网 络 功能 以 PNF 或 VNF 形式 实现 的 场所 
网 络 服务 由 相关 的 功能 和 行为 规范 定义 的 网 络 功能 组 合 
物理 网 络 功能 (PNF) 采用 紧 耦 合 软 硬 件 系统 实现 的 网 络 功能 ,通常 是 和 有 的 系统 
虚拟 机 (VM) 工作 模式 与 物理 计算 机 / 服务 器 非常 类 似 的 虚拟 化 计算 环境 
一 种 拓扑 组 件 ， 用 于 影响 具有 某 种 特定 特征 的 路 由 。 虚 拟 网 络 受 限于 它 所 许 
虚拟 网 络 可 的 网 络 接口 集合 。 在 NFVI 体系 结构 中 ， 虚 拟 网 络 通过 虚拟 机 实例 的 虚拟 网 卡 
以 及 实体 机 的 物理 网 卡 来 传递 信息 ， 这 些 网 卡 提供 了 信息 传递 所 必需 的 连接 
虚拟 化 的 网 络 功能 (VNF) 能 在 NFVI 中 部 署 的 网 络 功能 的 实现 
VNF 转发 图 (VNF FG) 连接 VNF 结 点 的 逻辑 链 路 图 ， 用 于 描述 网 络 功能 之 间 的 数据 流 


VNF 集 VNF 集合 ， 这 些 VNF 之 间 没 有 规定 是 否 连 通 
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7.3.1 NFV 使 用 案例 


本 节 介 绍 NFV 体系 结构 框架 文档 中 的 一 个 简单 案例 。 图 7-6a 展示 了 网 络 服务 的 一 个 物 
理 实 现 ， 该 网 络 服务 的 高 层 由 端 结 点 组 成 ， 这 些 端 结 点 通过 网 络 功 能 块 (也 称 网 络 功 能 或 
NF) 的 转发 图 互 连 ， 这 些 网 络 功能 块 可 以 是 防火 墙 、 负 载 均 衡 设 备 、 无 线 网 络 接 人 点 等 。 在 
这 个 体系 结构 框架 中 ， 网 络 功能 块 可 以 看 作 是 不 同 的 物理 结 点 ， 而 端 结 点 则 超出 了 NFV 技 
术 规 范 的 范畴 ， 它 们 包含 所 有 用 户 的 设备 。 所 以 ， 在 图 中 ， 端 结 点 A 可 以 是 一 个 智能 手机 ， 
而 端 结 点 B 可 以 是 一 个 CDN ARF FF o 


端 到 端的 网 络 服务 








a ) 端 到 端 网 络 服务 的 图 形 化 描述 


端 到 端的 网 络 服务 


! 主机 上 的 
1 虚拟 资源 





b) 采用 了 VNF 和 内 出 转发 图 的 端 到 端 网 络 服务 示例 
188 图 7-6 一 个 简单 的 NFV 配置 实例 


图 7-6a 展示 了 与 服务 提供 商 及 用 户 相 关 的 网 络 功能 ， 网 络 功能 与 端 结 点 之 间 的 连接 用 
虚线 描述 ， 表 示 这 些 连接 是 逻辑 链 路 。 这 些 逻 辑 链 路 实际 上 是 通过 基础 设施 网 络 (包括 有 线 
和 无 线 ) 中 的 物理 链 路 连通 起 来 的 。 

图 7-6b 描述 了 如 何在 图 7-6a 的 物理 配置 之 上 实现 虚拟 化 的 网 络 服务 配置 。VNF-1 提 
供 了 端 结 点 A 到 网 络 的 连接 ，VNF-2 提供 了 端 结 点 B 到 网 络 的 连接 ， 图 中 还 描绘 了 一 个 岩 
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套 的 VNF 转发 图 (BI VNF-FG-2), 该 VNF 转发 图 由 其 他 VNF 构成 (包括 VNF-2A, VNF- 
2B 和 VNF-2C)。 所 有 这 些 VNF 都 运行 在 虚拟 机 上 ， 这 些 虚拟 机 所 在 的 主机 也 就 是 PoP 
点 。 此 外 ， 还 有 几 个 需要 重点 说 明 的 地 方 ， 首 先 ， 即 使 穿越 VNF-FG-2 的 流量 全 部 都 直接 从 
VNF-1 到 VNF-3，VNF-FG-2 中 仍然 有 3 个 VNF， 这 是 因为 在 同时 执行 三 个 独立 且 不 同 的 
网 络 功 能 。 例 如 ， 某 些 数据 流 需要 受 流量 策略 或 整形 功能 的 约束 ， 这 时 就 要 通过 VNF-2C 来 
实现 。 因 此 ， 某 些 流 会 被 路 由 到 VNF-2C， 而 其 他 流 则 不 需要 执行 这 些 网 络 功能 。 

第 二 个 方面 是 VNF-FG-2 中 有 两 个 虚拟 机 运行 在 同一 台 物 理 主 机 上 。 由 于 这 两 台 虚 拟 机 
执行 的 是 不 同 的 功能 ， 因 此 需要 在 虚拟 资源 级 别 上 对 其 加 以 区 分 ， 即 使 它们 是 由 同一 台 物 理 
主机 所 支撑 。 但 这 种 两 个 虚拟 机 运行 在 一 台 主 机 上 的 方式 也 不 是 必需 的 ， 网 络 管理 功能 可 以 
将 其 中 一 个 虚拟 机 迁移 到 其 他 的 物理 主机 上 ， 以 保证 虚拟 机 的 性 能 ， 而 这 种 迁移 从 虚拟 资源 
层级 来 看 是 透明 的 。 


7.3.2 NFV 的 基本 要 素 


正如 图 7-6 所 示 ，VNF 是 用 来 创建 端 到 端 网 络 服务 的 构建 块 ， 而 在 架设 实际 的 网 络 服务 
时 ,会 涉及 三 个 NFV 基本 要 素 。 

e 服务 链 : VNF 是 可 组 合 的 模 抉 ,每 个 VNF 都 只 能 提供 有 限 的 功能 。 对 于 特定 应 用 程 
序 中 的 某 条 特定 数据 流 ， 服 务 提供 商 通过 多 个 VNF 来 对 流 进行 管控 ， 从 而 完成 他 们 
所 期 望 的 网 络 功能 ， 这 也 称 为 服务 链 。 

e 管理 与 编排 (management and orchestration, MANO): 主要 包括 在 VNF 实例 的 生命 
周期 期 间 的 部 署 和 管理 ， 例 如 VNF 实例 的 创建 、VNEF 服务 链 、 监 视 、 迁 移 、 关 机 和 
计 费 等 ，MANO 还 对 NFV 的 基础 设施 单元 进行 管理 。 

e 分 布 式 架构 : 一 个 VNF 可 以 由 一 个 或 多 个 VNF 组 件 ( VNFC) 构成 ， 而 每 个 VNFC 
都 是 VNF 的 功能 子 集 。 每 个 VNFC 可 以 部 署 在 一 个 或 多 个 实例 中 ， 这 些 实例 则 部 署 
在 独立 的 、 分 布 式 的 主机 上 ， 从 而 保证 可 扩展 性 和 元 余 性 。 


7.3.3 BE NFV 框架 


7-7 显示 了 ISG NFV 定义 的 高 层 NFV 框架 ， 这 个 框架 支持 将 网 络 功能 由 软件 VNF 
来 实现 。 我 们 用 它 来 概述 NFV 的 体系 结构 ， 第 8 章 将 会 更 加 详细 介绍 这 些 内 容 。 
NFV 框架 由 以 下 三 个 操作 域 组 成 。 
e 虚拟 化 的 网 络 功能 : 由 软件 实现 的 VNF EA, AITE NFV ŻE. 
e NFV 基础 设施 ( NFVI) : NFVI 在 网 络 服 务 环境 中 的 三 类 设备 之 上 完成 虚拟 化 功能 ， 
这 三 类 设备 是 计算 设备 、 存 储 设备 和 网 络 设备 。 
o NFV 管理 与 编排 : 主要 包括 软 硬 件 资源 的 编排 与 生命 周期 管理 ， 以 支持 基础 设施 的 
虚拟 化 ， 还 包括 VNF 生命 周期 的 管理 。NFYV 管理 与 编排 侧重 于 NFV 框架 中 所 有 具 
体 的 虚拟 化 管理 工作 。 
ISG NFV 的 体系 结构 框架 文档 详细 指定 了 VNF 的 部 署 、 操 作 、 管 理 和 编排 ,并 支持 两 
种 VNF 之 间 的 关系 类 型 。 
o VNF 转发 图 (VNF FG): 包括 VNF 之 间 连 接 关 系 提前 指定 的 情况 ， 例 如 访问 Web Hk 
务 器 层 时 路 径 中 的 VNF 链 (如 防火 墙 、 网 络 地 址 转换 器 、 负 载 均衡 器 )。 
e VNF Æ: 包括 VNF 之 间 连 接 关系 未 提前 指定 的 情况 ， 例 如 Web 服务 器 池 。 
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Ha (YNE 区 


NFV 基 础 设施 (NEFVI) 


虚拟 化 计算 虚拟 化 存储 虚拟 化 网 络 
虚拟 化 层 


计算 硬件 资源 ”存储 硬件 资源 “网络 硬件 资源 





图 7-7 高 层 NFV 框架 


7.4 NFV 的 技术 优势 与 必要 条 件 
在 介绍 完 NEV 的 总 体 概念 之 后 ， 我 们 现在 对 NEV 取得 成 功 的 技术 优势 及 其 必要 条 件 进 


总 结 。 


=> 


7.4.1 NFV 的 技术 优势 


如 果 能 够 高 效 地 实现 NFV,， BBA NFV 能 发 挥 出 一 些 传统 网 络 无 法 达到 的 技术 优势 ， 以 
下 几 个 方面 最 为 重要 : 
e 可 以 减少 资产 开支 (CapEx)。 通 过 使 用 商用 服务 器 和 交换 机 、 裁 并 各 种 设备 、 扩 大 规 
模 经 济 、 支 持 按 成 长 付费 模型 等 方法 可 以 消除 造成 浪费 的 超额 配给 ， 这 可 能 是 NFV 
发 展 的 主要 驱动 力 。 


资产 开支 nade sad spe ues taps Sih ner sa ais ae 
有 资产 的 有 效 期 时 ， 都 会 产生 经 费 开 支 。 


© 从 能 源 消耗 以 及 空间 利用 的 角度 来 说 ， 可 以 减少 运 维 开支 (OpEx)。 这 类 开支 的 节省 
主要 通过 使 用 商用 服务 器 和 交换 机 、 裁 并 各 种 设备 、 扩 大 规模 经 济 、 减 少 网 络 管理 
和 控制 开支 来 实现 。 降 低 资产 开支 和 运 维 开支 可 能 是 NFV 发 展 的 最 主要 驱动 力 。 


运 维 开支 。 主 要 涉及 由 于 设备 维护 与 运营 等 日 常 业务 而 产生 的 业务 开支 。 


© 具有 快速 创新 和 推广 服务 的 能 力 。 这 项 优势 减少 了 部 署 新 的 网 络 服务 以 支持 业务 需 
求 改变 、 占 领 新 兴 市 场 、 改 善 新 服务 投资 回报 的 时 间 ， 这 就 使 得 服务 提供 商 能 方便 
地 对 服务 进行 测试 和 改进 ， 从 而 找 出 最 能 满足 用 户 需求 的 服务 。 

e 具有 良好 的 互 操 作 特性 ， 因 为 NFV 采用 的 都 是 标准 和 开放 的 接口 。 

e 可 以 使 用 单一 的 平台 为 不 同 的 应 用 程序 、 用 户 和 租户 提供 服务 ， 这 一 特点 使 得 网 络 
管理 员 能 跨 服务 和 用 户 库 来 共享 资源 。 


R7F MEDEE: BRSKABH 129 


e 具有 较 强 的 灵活 性 ， 能 通过 快速 地 扩大 或 缩小 服务 的 规模 来 解决 需求 变化 问题 。 

o 使 基于 地 理 或 客户 群 的 服务 布设 成 为 可 能 ， 可 以 根据 需求 快速 地 扩大 或 缩小 服务 规模 。 

© 生态 系统 种 类 多 样 ， 并 鼓励 开放 性 。 它 为 纯 软 件 从 业者 、 学 术 界 都 开放 了 虚拟 设备 
市 场 ， 并 且 在 较 低 风险 的 情况 下 鼓励 新 服务 和 收益 流 的 创新 。 


7.4.2 NFV 的 必要 条 件 


为 了 取得 上 述 技术 优势 ，NFYV 的 设计 和 实现 必须 满足 一 些 必要 和 条件， 并 解决 某 些 技 术 
挑战 ， 具 体 包括 以 下 几 个 方面 [ISGN12]。 
可 移植 性 和 互 操作 性 : 可 以 在 不 同 厂商 生产 的 各 种 硬件 平台 上 加 载 和 执行 NFV 的 
能 力 。 当 前 最 大 的 挑战 是 定义 一 些 能 够 将 软件 实例 从 底层 硬件 分 离 出 来 的 统一 接口 ， 
就 像 管 理 程序 及 其 所 管理 的 虚拟 机 那样 。 
性 能 折衷: HT NFV 基于 商用 的 标准 硬件 (这 里 排除 了 一 些 如 加 速 引擎 那样 的 私有 
硬件 )， 那 些 可 能 造成 性 能 下 降 的 因素 就 要 被 重视 起 来 。 现 在 的 挑战 是 如 何 利用 合理 
的 管理 程序 和 现代 软件 技术 来 尽 可 能 降低 性 能 的 衰退 ， 以 尽 可 能 使 其 对 时 延 、 吞 吐 
量 、 处 理 开 销 方面 的 影响 最 小 化 。 
与 日 有 设备 的 过 渡 和 共存 : NFV 架构 必须 支持 从 当前 基于 私有 的 物理 网 络 设施 方案 
迁移 到 更 为 开放 的 虚拟 网 络 设施 方案 ， 换 名 话说 ，NEFV 必须 能 在 由 传统 物理 网 络 设 
施 和 虚拟 网 络 设施 构成 的 混合 环境 中 工作 。 因 此 ， 虚 拟 设 施 必须 使 用 现 有 的 北向 接 
口 (用 于 管理 和 控制 )， 并 与 实现 相同 功能 的 物理 设施 一 起 工作 。 
管理 与 编排 : 需要 实现 一 致 的 管理 与 编排 。 利 用 运行 在 开放 和 标准 基础 设施 上 的 软 
件 网 络 设备 ，NFYV 创造 了 能 将 管理 与 编排 北向 接口 同 定义 良好 的 标准 和 抽象 规范 结 
合 起 来 的 机 会 。 
自动 化 : 只 有 所 有 的 功能 都 实现 了 自动 化 ，NFYV 才能 扩展 ， 过 程 自动 化 是 成 功 的 首 
要 因素 。 
安全 性 与 弹性 : 在 采用 NFV 后 ， 网 络 的 安全 性 、 弹 性 和 可 用 性 不 会 受到 损害 。 
网 络 稳定 性 : 在 不 同 硬件 厂商 和 管理 程序 之 间 管 理 与 编排 大 量 虚拟 设施 时 ， 要 保证 
网 络 的 稳定 性 不 会 受到 影响 。 在 虚拟 功能 重新 部 署 、 由 于 软 硬 件 故障 进行 重 配置 或 
网 络 攻击 发 生 时 ， 这 一 点 特别 重要 。 
简单 性 : 确保 在 对 虚拟 化 网 络 平台 进行 运 维 时 要 比 现在 更 简单 。 网 络 管理 员 的 一 个 
关注 焦点 是 能 简化 众多 复杂 的 网 络 平台 ， 并 支持 那些 已 经 历经 几 十 年 网 络 技术 变迁 
的 系统 ， 同 时 还 要 保证 连贯 性 以 支持 重要 的 、 能 产生 收益 的 服务 。 
集成 : 网 络 管理 员 需 要 具备 集成 不 同 厂商 生产 的 服务 器 、 管 理 程序 和 虚拟 设施 的 能 
力 ， 不 会 造成 太 大 的 集成 支出 ， 并 避免 捆绑 情况 。 生 态 系统 必须 能 集成 服务 、 日 常 
维护 和 第 三 方 支持 ， 还 要 能 解决 多 个 参与 方 带 来 的 集成 问题 ， 该 生态 系统 需要 相关 
机 制 来 验证 新 的 NFV 产品 。 


7.5 NFV 参考 体系 结构 


图 7-7 给 出 了 高 层 的 NFV 框架 ， 而 图 7-8 则 显示 了 更 为 详细 的 ISG NFV 参考 体系 结构 
框架 ， 从 中 可 以 看 出 这 一 体系 结构 主要 包含 以 下 四 个 模块 。 
e NFV 基础 设施 : 包括 创建 出 能 部 署 VNF 环境 的 软 硬 件 资源 。NFVI 将 物理 的 计算 、 
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存储 、 网 络 进行 了 虚拟 化 ， 并 将 它们 放置 在 资源 池 中 。 
e VNF/EMS : 指 由 软件 实现 且 运 行 在 虚拟 计算 、 存 储 和 网 络 资源 之 上 的 VNF 集合 ， 
以 及 管理 这 些 VNF 的 单元 管理 系统 (EMS) 集合 。 
e NFV 的 管理 与 编排 (NFV-MANO): 对 NFYV 环境 中 的 所 有 资源 进行 管理 与 编排 的 框 
AR, 这 里 的 资源 包括 计算 、 网 络 、 存 储 和 虚拟 机 资源 。 
e OSS/BSS: 由 VNF 服务 提供 商 实现 的 运 维和 业务 支持 系统 。 
此 外 ， 也 可 以 认为 这 个 体系 结构 包含 三 个 层次 ， 其 中 NFVI 以 及 虚拟 化 的 基础 设施 管理 
193| ”器 对 虚拟 资源 环境 及 其 底层 的 物理 资源 进行 分 配 和 管理 ，VNF 层 和 单元 管理 系统 以 及 一 个 
或 几 个 VNF 管理 器 提供 网 络 功能 的 软件 实现 ， 最 后 ，OSS/BSS A NEV 编排 器 构成 了 管理 、 
编排 与 控制 层 。 


NFV 管 理 与 编排 


Os-Ma 





虚拟 计算 资源 | | 虚拟 存储 资源 | | 虚拟 网 络 资源 


虚拟 化 层 


| | 硬件 计算 资源 | | 硬件 存储 资源 | | 硬件 网 络 资源 


s 一 。 执行 参照 点 -d 其 他 参照 点 一 一 ”主要 的 NFV 参 照 点 
图 7-8 NFV 参考 体系 结构 


7.5.1 NFV 管理 与 编排 


NFV 的 管理 与 编排 设施 包括 以 下 功能 模块 。 

e NFV 编排 器 : 主要 负责 新 网 络 服务 (NS) 和 虚拟 网 络 功能 (VNF) 包 的 安装 与 配置 ， 
以 及 NS 生命 周期 管理 、 全 局 资源 管理 、NFVI 资源 请 求 的 确认 与 授权 。 

e NFV 管理 器 : 监视 VNF 实例 的 生命 周期 管理 。 


© 虚拟 化 基础 设施 管理 器 : 对 VNF 及 其 权限 内 的 计算 、 存 储 、 网 络 资源 的 交互 进行 管 
194 理 和 控制 ， 还 包括 这 些 资源 虚拟 化 的 管理 。 


7.5.2 参照 点 
图 7-8 还 定义 了 一 些 参 照 点 ， 这 些 参 照 点 构成 了 功能 块 之 间 的 接口 。 主 要 的 (已 得 到 命 
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名 ) 参照 点 和 执行 参照 点 用 实 线 表 示 ， 它 们 属于 NEYV 的 范畴 ， 也 是 可 能 的 标准 化 对 象 。 用 
虚线 描绘 的 参照 点 在 当前 的 部 署 中 是 可 用 的 ,但 是 可 能 需要 进行 扩展 从 而 实现 网 络 功 能 虚拟 
化 。 用 点 线 描绘 的 参照 点 目前 还 不 是 NFV 关注 的 焦点 。 

主要 的 参照 点 包括 以 下 部 分 。 

e Vi-Ha: 标识 了 与 物理 硬件 的 接口 。 一 个 定义 良好 的 接口 规范 会 让 管理 员 很 方便 地 为 
不 同 目标 对 物理 资源 进行 共享 和 再 分 配 、 独 立地 改进 软件 和 硬件 、 从 不 同 厂商 获取 
软 硬 件 组 件 。 
Vn-Nf : 主要 是 用 于 VNF 在 虚拟 化 基础 设施 上 运行 的 API 接口 。 应 用 开发 者 无 论 是 
迁移 现 有 的 网 络 功能 还 是 开发 新 的 VNF， 都 需要 统一 的 接口 来 提供 指定 性 能 、 可 靠 
性 和 扩展 性 需求 。 
Nf-Vi: 标识 了 NEFVI 和 虚拟 化 基础 设施 管理 器 (VIM) 之 间 的 接口 。 该 接口 能 够 方便 
地 推动 NFVI 为 VIM 提供 的 功能 规范 。VIM 必须 能 承担 所 有 的 NEVI 虚拟 资源 管理 
工作 ， 包 括 资源 分 配 、 系 统 利 用 率 监 测 和 故障 管理 等 。 
Or-Vnfm : 该 参照 点 用 于 给 VNF 管理 器 发 送 配置 信息 ， 并 收集 VNF 在 网 络 服务 生命 
周期 管理 中 必要 的 状态 信息 。 
Vi_Vnfm: 用 于 VNF 管理 器 进行 资源 分 配 请 求 ， 以 及 资源 配置 和 状态 信息 的 交互 。 
Or-Vi: 用 于 NFV 编排 器 进行 资源 分 配 请 求 ， 以 及 资源 配置 和 状态 信息 的 交互 。 
Os-Ma: 用 于 编排 器 与 OSS/BSS 系统 之 间 的 交互 。 
Ve-Vnfm: 用 于 VNF 生命 周期 管理 的 请 求 ， 以 及 配置 和 状态 信息 的 交互 。 
Se-Ma : 编排 器 和 数据 集 之 间 的 接口 ， 其 中 数据 集 用 于 提供 VNF 部 署 模 板 、VNF 转 
发 图 、 服 务 相 关 信息 、NFYV 基础 设施 信息 模型 等 相关 信息 。 


7.5.3 ”具体 实现 


NEV 的 成 功 需 要 对 接口 参照 点 以 及 通用 功能 开源 软件 进行 标准 化 ， 而 ISG NFV 多 年 来 
一 直 都 在 制定 NFV 各 种 接口 和 组 件 的 标准 。2014 年 9 A, Linux 基金 会 宣布 了 NFV 开放 平 
台 (OPNFV) 项 目 ，OPNFYV 的 目标 是 成 为 运营 商 级 的 综合 平台 ， 从 而 能 更 快 地 将 新 产品 和 
服务 商用 化 ，OPNFYV 的 主要 目标 包括 以 下 方面 : 

e 开发 可 以 用 于 研究 和 论证 核心 NFV 功能 的 综合 及 测试 开源 平台 。 

o 保护 那些 主动 参与 的 重要 端 用 户 ， 这 些 用 户 的 参与 可 以 验证 OPNFV 的 发 布 是 否 解决 

了 管理 员 的 需求 。 

e 影响 那些 将 要 增添 到 OPNFYV 参考 平台 的 相关 开源 项 目 ， 并 为 其 提供 帮助 。 

o 基于 开放 标准 和 开源 软件 ， 为 NFV 建立 开放 的 生态 系统 。 

o 推动 OPNFV 成 为 首选 的 开放 参考 平台 ， 以 避免 出 现 不 必要 的 和 耗费 巨大 的 重复 性 工作 。 

OPNFV fil ISG NFV 相互 间 是 独立 的 ， 但 是 未 来 它们 很 可 能 会 紧密 协作 以 保证 OPNFV 
的 实现 仍然 处 于 ISG NFV 制定 的 标准 环境 中 。 

OPNFV 最 开始 的 关注 范围 集中 在 建立 NFVI、VIM， 以 及 与 其 他 NFV 单元 的 API 接口 ， 
这 些 合 起 来 构成 了 VNF 和 MANO 组 件 所 需 的 基础 设施 ， 图 7-9 描绘 了 NFVI 和 VIM 所 构 
成 的 OPNFV 关注 焦点 。 以 这 一 平台 作为 基础 ， 厂 商 可 以 通过 开发 VNF 软件 包 和 与 VNF 管 
理 及 编排 相关 的 软件 增加 附加 值 。 
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厂商 所 关注 的 
附加 值 焦点 





图 7-9 NFV 的 具体 实现 


76 重要 术语 
学 完 本 章 后 ， 你 应 当 能 够 定义 下 列 术 语 。 
业务 支持 系统 (BSS ) 开放 NFV 平台 (OPNFV) 
资产 开支 (CapEx) 运 维 开 支 (OpEx) 
商用 现货 (COTS) 入 网 点 (PoP) 
固 结 比 缩小 规模 
硬件 虚拟 化 扩大 规模 
管理 程序 : 一 类 管理 程序 
管理 程序 域 二 类 管理 程序 
基于 基础 设施 的 虚拟 网 络 虚拟 机 (VM) 
二 层 虚拟 网 络 虚拟 机 监视 器 (VMM) 
网 络 功能 虚拟 化 (NFV) 
7.7 参考 文献 


ISGN12: ISG NFV. Network Functions Virtualization: An Introduction, 
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NFV 功能 


我 们 已 经 进入 一 个 用 廉价 、 复 杂 设 备 实现 高 可 靠 性 的 时 代 ， 一 定 会 有 些 东西 随 
之 而 来 的 。 


一 一 “我 们 可 能 会 认为 ”，Vannevar Bush,《 大 西洋 》 1945 年 7 月 


本 章 目标 

学 完 本 章 后 ， 你 应 当 能 够 : 

o 解释 NFV 基础 设施 中 的 各 个 单元 及 其 相互 关系 。 
e 理解 与 虚拟 网 络 功能 相关 的 关键 设计 问题 。 

e 解释 NFV 管理 与 编排 的 目的 及 其 运 维 。 

e 列举 重要 的 NFV 用 例 。 

e 探讨 SDN Al NFV 之 间 的 关系 。 

本 章 对 网 络 功能 虚拟 化 的 探讨 进行 了 总 结 。 


8.1 NFV 基础 设施 


NFV 体系 结构 的 核心 是 资源 与 功能 集合 ， 也 为 称 为 NFV 基础 设施 (NFVI)。NFVI 包 括 
以 下 三 个 域 ， 如 图 8-1 所 示 。 
e 计算 域 : 提供 商用 的 大 容量 服务 器 和 存储 设备 。 


。 管理 程序 域 : 将 计算 域 中 的 资源 居中 调配 给 软件 设施 中 的 虚拟 机 ， 从 而 提供 对 硬件 
的 抽象 。 


e 基础 设施 网 络 域 (IND): 由 所 有 通用 大 容量 交换 机 构成 的 互连网 络 ， 能 配置 为 提供 基 
础 设施 网 络 服务 。 


管理 程序 域 


‘EI Ree = 
Cin I] 
es ee a 

O i 

| = 村 

EHAR 硬件 存储 资源 | 由 件 网 络 资源 

> ee 


基础 设施 网 络 域 










计算 域 


8-1 NEV 的 域 
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8.1.1 容器 接口 


在 讨论 NFVI 之 前 ,我 们 首先 需要 搞 清楚 容器 接口 ( container interface) 这 个 概念 。 容 
器 接口 概念 用 在 网 络 功能 虚拟 化 行业 标准 组 (ISG NFV) 的 文档 中 ,但 是 ， 欧 洲 电 信 标 准 研 
A (ETSI) 的 文档 也 使 用 了 容器 这 个 术语 ,而且 ETSI 文档 中 的 容器 与 容器 虚拟 化 有 着 不 
同 的 意思 。NFV 基础 设施 文档 指出 容器 接口 和 容器 这 两 个 词 不 应 当 混 淆 ， 在 容器 虚拟 化 背 
景 中 ， 也 可 以 认为 容器 是 整个 虚拟 机 。 而 且 这 个 文档 还 指出 ， 某 些 虚 拟 网 络 功 能 是 用 于 管理 
程序 虚拟 化 的 ， 而 其 他 VNF 则 是 用 于 容器 虚拟 化 的 。 在 澄清 上 述 概念 之 后 ， 接 下 来 就 对 容 
器 接口 的 概念 进行 介绍 。 
ETSI 的 文档 对 功能 模块 接口 和 容器 接口 进行 了 区 分 ， 它 们 的 定义 如 下 。 
。 功能 模块 接口 : 两 个 软件 模块 之 间 的 接口 ， 这 两 个 模块 分 别 完成 不 同 的 (或 者 相同 的 ) 
功能 。 无 论 这 两 个 功能 模块 是 否 在 相同 的 物理 主机 上 ， 这 个 接口 使 得 两 个 功能 模块 
之 间 都 可 以 相互 通信 。 
e 容器 接口 : 一 台 主 机 系统 中 的 执行 环境 ， 功 能 模块 在 该 环境 中 运行 。 功 能 模块 位 于 
相同 的 物理 主机 上 ， 该 主机 即 容器 ， 它 提供 了 容器 接口 。 
容器 接口 的 概念 非常 重要 ， 因 为 在 讨论 NFV 体系 结构 中 的 虚拟 机 和 VNF 以 及 如 何 实现 
功能 模块 的 交互 时 ， 很 容易 会 出 现 忽略 所 有 虚拟 化 功能 必须 运行 在 实际 物理 主机 上 的 事实 。 
图 8-2 描述 了 容器 和 功能 模块 接口 与 NFVI 域 结构 的 关系 。 
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虚拟 机 容器 接口 J 
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图 8-2 总体 域 体系 结构 及 相关 接口 


ETSI 的 NFVI 体系 结构 概述 文档 对 图 8-2 做 了 以 下 说 明 : 

e VNF 的 体系 结构 与 承载 VNF 的 体系 结构 ( 即 NFVI) 是 不 同 的 。 

© VNF 体系 结构 可 以 根据 NFVI 的 情况 划分 为 多 个 域 ， 反之 亦 然 。 

e 在 现 有 技术 和 产业 结构 下 ,计算 (包括 存储 )、 管 理 程序 、 基 础 设施 网 络 都 是 大 的 不 
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同 的 域 ， 而 且 在 NFVI 内 也 是 作为 不 同 的 域 来 维护 的 。 

管理 与 编排 域 正 逐步 与 NFVI 完全 分 离 以 形成 自己 的 域 , 虽然 这 两 者 之 间 的 边界 通常 
只 是 通过 一 些 重 和 到 部 分 的 单元 管理 功能 进行 了 松散 的 定义 。 

VNF 域 和 NEFVI 之 间 的 接口 是 容器 接口 而 不 是 功能 模块 接口 。 

管理 与 编排 功能 很 可 能 (以 虚拟 机 形式 ) 位 于 NFVI 中 ,因此 ， 它 也 很 可 能 位 于 一 个 
容器 接口 中 。 

图 8-2 还 描述 了 如 何 部 署 NFV。 从 用 户 角度 来 看 ， 互 连 VNE 的 网 络 是 一 个 虚拟 化 的 网 
络 ， 物 理 资 源 和 底层 的 逻辑 细节 对 用 户 都 是 透明 的 。 但 是 VNF 和 VNF 之 间 的 逻辑 链 路 都 
位 于 NFVI 容器 中 ， 该 容器 又 位 于 物理 主机 上 的 虚拟 机 和 虚拟 机 容器 中 ， 因 此 ， 如 果 我 们 将 
VNF 的 体系 结构 抽象 为 三 个 层次 (分 别 为 物理 资源 层 、 虚 拟 化 层 和 应 用 层 )， 那 么 这 三 个 层 
次 都 位 于 一 台 物 理 主机 上 。 当 然 ， 这 些 功能 可 能 分 散在 多 个 计算 机 和 交换 机 上 ,但 是 所 有 应 
用 软件 最 终 会 以 虚拟 化 软件 的 形式 运行 在 同一 台 物 理 主机 上 。 这 就 与 SDN 将 数据 平面 和 控 
制 平面 分 离 到 不 同 的 物理 主机 有 所 区 别 。SDN 的 应 用 平面 可 以 与 控制 平面 在 相同 的 主机 上 
运行 ， 但 是 也 可 以 在 另 一 台 远 程 主机 上 运行 。 

K 8-1 对 图 8-2 中 标记 的 接口 进行 了 描述 ， 表 中 第 2 列 的 数字 对 应 着 图 中 箭头 的 标号 。 
接口 4.6.7 和 12 都 是 容器 接口 ， 该 接 日 两 侧 的 组 件 都 在 同一 台 主 机 上 运行 ， 而 接口 3、8、9、 
10、11 和 14 都 是 功能 模块 接口 ， 在 绝 大 部 分 情况 下 ， 这 类 接口 两 侧 的 功能 模块 都 运行 在 不 
同 的 主机 上 。 但 是 ， 有 时 候 某 些 管理 与 编排 软件 也 可 能 与 其 他 NFVI 组 件 位 于 相同 的 主机 
E. 图 8-2 中 还 有 接口 1、2、5 和 13， 它 们 用 来 与 还 未 在 NFV 中 实现 的 现 有 网 络 相连 。 因 
为 NFV 文档 期 望 NFV 将 来 能 用 到 企业 的 设施 中 ， 所 以 与 非 NFV 网 络 的 交互 是 不 可 或 缺 的 。 

R 8-1 域 体 系 结构 中 的 域 间接 口 
接口 描述 
基础 设施 提供 的 与 主机 VNF 的 主要 接口 ， 应 用 可 以 是 分 布 式 的 ， 基 础 
设施 提供 了 虚拟 的 连接 ， 将 应 用 的 分 布 式 组 件 互 连 起 来 
VNF 之 间 的 接口 。 该 接口 规范 不 包括 也 不 关心 基础 设施 为 功能 模块 提 
供 连接 服务 的 方法 ， 无 论 这 些 模块 是 主机 功能 模块 ， 还 是 分 布 式 的 
允许 VNF 请 求 不 同 基础 设施 资源 的 接口 〈 例 如 ， 请 求 新 基础 设施 的 互 
连 服务 、 分 配 更 多 的 计算 资源 或 激活 / 取消 应 用 中 的 其 他 虚拟 机 组 件 ) 
虚拟 网 络 容 器 接口 ， 由 基础 设施 提供 的 与 连接 服务 之 间 的 接口 。 该 容 
器 接口 使 得 基础 设施 作为 互 连 服务 的 实例 提供 给 NFV 应 用 
虚拟 机 容器 接口 运行 VNF 虚拟 机 的 主要 托管 接口 
计算 容器 接口 :运行 管理 程序 的 主要 托管 接口 
和 基础 设施 网 络 域 之 间 的 管理 与 编排 接口 
和 管理 程序 域 之 间 的 管理 与 编排 接口 
和 计算 域 之 间 的 管理 与 编排 接口 
计算 设备 和 基础 设施 网 络 设备 之 间 的 网 络 互 连 
VNF 和 现 有 网 络 之 间 的 接口 ， 它 很 可 能 只 是 较 高 的 协议 层 ， 因 为 基础 
设施 提供 的 所 有 协议 对 VNF 都 是 透明 的 
现 有 管理 系统 对 VNF 进行 的 管理 
现 有 管理 系统 对 NFV 基础 设施 进行 的 管理 
基础 设施 网 络 和 现 有 网 络 之 间 的 接口 。 它 很 可 能 只 是 较 低 的 协议 层 ， 
因为 VNF 提供 的 所 有 协议 对 于 基础 设施 都 是 透明 的 


接口 类 型 


NFVI 容器 接口 


VNF 互 连 接口 


VNF 管理 与 编排 接口 


基础 设施 容器 接口 


基础 设施 互 连 接口 


与 现 有 基础 设施 的 互 连 接口 
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8.1.2 NFVI 容器 的 部 署 


单 台 计算 或 网 络 主机 能 同时 承载 多 个 虚拟 机 ， 每 个 虚拟 机 又 能 承载 一 个 VNF。 托 管 在 
某 个 虚拟 机 上 的 VNF 也 称 为 VNF 组 件 (VNFC)， 而 一 种 网 络 功能 可 以 由 一 个 VNFC 虚拟 
化 ， 也 可 由 多 个 VNFC 组 合 为 一 个 VNF 来 进行 虚拟 化 。 图 8-3a 显示 了 在 一 个 计算 结 点 上 的 
VNFC 组 织 结 构 ， 其 中 计算 容器 接口 托管 管理 程序 ， 而 管理 程序 又 托管 多 个 VM， 每 个 VM 
托管 一 个 VNFC。 


由 


ey 





ag a 
计算 结 点 “~、、 


a) 一 个 支持 多 VNFC 的 计算 平台 





NFVI 
容器 接口 
A MOLE 会 | 会 [会 | 会 会 





ak Leu Leu LEI LE 





b) 一 个 分 布 在 多 个 计算 平台 上 的 组 合式 VNF 
图 8-3 NEVI 容器 的 部 署 


当 一 个 YNF 由 多 个 VNFC 构成 时 ， 所 有 的 VNFC 不 必 运 行 在 一 台 主 机 上 。 在 图 8-3b F, 
VNFC 可 以 分 布 在 多 个 计算 结 点 上 ， 这 些 结 点 由 构成 基础 设施 网 络 域 的 网 络 主机 互 连 起 来 。 
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8.1.3 ”NFVI 域 的 逻辑 结构 


ISG NFV 的 标准 文档 展示 出 NEVI 域 的 逻辑 结构 及 其 互 连 方式 ， 而 该 结构 中 各 个 单元 的 
具体 实现 细节 则 会 以 开源 和 私有 的 方式 不 断 演 化 。NEFVI 域 的 逻辑 结构 提供 了 开发 框架 ， 并 
对 主要 组 件 之 间 的 接口 进行 了 标识 ， 图 8-4 显示 了 该 框架 及 各 个 接口 。 






控制 与 管理 代理 





虚拟 化 层 
ri i 与 共享 控制 


控制 与 管理 代理 


ENF 基础 设施 网 络 域 
Ha/CSr-Ha/Nr d 


图 8-4 ”NFVI 域 的 逻辑 结构 


8.1.4 计算 域 


一 个 典型 的 计算 域 通常 包含 以 下 要 素 。 

e CPU/ A: 商用 处 理 器 和 主 内 存 ， 用 于 执行 VNFC 代码 。 

o 内 部 存储 器 : 与 处 理 器 位 于 相同 物理 结构 中 的 永久 性 存储 器 ， 例 如 闪存 。 

e 加 速 器 : 因 安 全 性 、 联 网 和 分 组 处 理 而 增加 的 加 速 器 功能 。 

o 外 部 存储 器 和 存储 控制 器 : 辅助 存储 设备 。 

e PI (NIC): 提供 了 与 基础 设施 网 络 域 相连 的 物理 连接 ， 在 图 中 被 标记 为 Ha/CSr- 
Ha/Nr， 在 图 8-2 中 对 应 的 是 接口 14。 

e 控制 和 管理 代理 : 用 于 连接 虚拟 化 基础 设施 管理 器 (VIM)， 具 体 参 见 第 7 章 的 图 7-8。 

e eswitch : 服务 器 内 艇 的 交换 机 ，eswitch 的 功能 在 计算 域 中 实现 (具体 将 在 下 一 节 介 
绍 ), 但 从 功能 来 说 ， 它 构成 了 基础 设施 网 络 域 必需 的 部 分 。 

© 计算 / 存储 执行 环境 : 这 是 服务 器 或 存储 设备 供 管理 程序 软件 运行 的 执行 环境 (其 中 
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的 [VI-Ha]/CSr 对 应 图 8-2 中 的 接口 12 ) 。 
网 卡 ， 一 种 安装 在 计算 机 中 的 适配器 电路 板 ， 可 以 提供 与 网 络 的 物理 连接 。 
eswitch 
为 了 理解 eswitch 的 功能 ， 首 先 要 注意 VNF 从 广义 上 来 说 主要 进行 两 类 工作 。 
e 控制 平面 的 工作 : 主要 与 信 令 及 控制 平面 的 协议 相关 ， 如 BGP。 一 般 来 说 ， 这 些 工 
作 是 处 理 器 密集 型 的 ， 而 不 是 IO 密集 型 ， 因 此 不 会 对 IO 系统 带 来 太 大 的 负担 。 
e 数据 平面 的 工作 : 主要 与 网 络 流量 载荷 的 路 由 、 交 换 、 中 继 、 处 理 相 关 ， 这 些 工作 
会 产生 较 大 的 IO 吞吐 量 。 
TE NFV 等 虚拟 环境 中 ， 所 有 VNF 网 络 流量 都 会 通过 管理 程序 域 中 的 虚拟 交换 机 ， 该 虚 
拟 交换 机 会 调用 位 于 虚拟 VNF 软件 和 主机 联网 硬件 之 间 的 软件 层 ， 它 会 带 来 较 大 的 性 能 误 
退 。eswitch 的 目的 是 绕 过 虚拟 化 软件 而 为 VNF 提供 一 个 到 网 卡 的 直接 内 存 访问 (DMA) 路 
径 ， 因 此 ， 它 在 不 产生 额外 处 理 器 开销 的 前 提 下 ， 它 加 快 了 分 组 的 处 理 速度 。 
利用 计算 域 结 点 实现 NFVI 
正如 图 8-3 所 描述 的 那样 ，VNF 由 一 个 或 多 个 在 逻辑 上 互 连 的 VNFC 组 成 ,， 这些 VNFC 
在 管理 程序 域 的 容器 中 以 软件 形式 运行 ， 而 容器 又 在 计算 域 的 硬件 上 运行 。 虽然 虚拟 链 路 和 
网 络 在 基础 设施 网 络 域 中 定义 ,但 是 在 VNF 层 网 络 功 能 的 实际 实现 则 由 计算 域 结 点 中 的 软 
件 组 成 。IND 接口 与 计算 域 直接 交互 ， 而 与 管理 程序 域 及 VNF 则 不 直接 交互 。 这 些 内 容 已 
经 在 图 8-3 中 做 出 了 说 明 。 
在 介绍 后 续 内 容 之 前 ， 我 们 需要 对 结 点 (node) 这 一 术语 进行 解释 。 结 点 在 ISG NFV X 
档 中 经 常 使 用 ， 这 些 文档 将 NFVI 结 点 (NFVI-Node) 定义 为 作为 在 单个 实体 部 署 和 管理 的 
物理 设备 集合 ， 它 提供 了 支持 VNF 执行 环境 所 需 的 NFVI 功能 。NFVI 结 点 位 于 计算 域 中 ， 
并 且 包 括 以 下 类 型 的 计算 域 结 点 。 
o 计算 结 点 : 它们 是 能 够 执行 通用 计算 指令 集 (该 集合 中 每 条 指令 都 有 原子 性 和 确定 性 特 
点 ) 的 功能 实体 ， 无论 这 些 指令 集 在 执行 时 具体 的 状态 如 何 ， 执 行 周期 都 只 有 几 秒 钟 到 
几 十 纳 秒 。 在 实际 术语 中 ， 它 是 从 内 存 访问 时 间 的 角度 来 定义 的 。 一 个 分 布 式 系统 无 
法 满足 这 一 执行 周期 要 求 ， 因 为 对 远程 内 存 状态 访问 的 时 间 就 已 经 超过 了 这 一 时 长 。 
© 网 关 结 点 : 它们 是 NFVI 结 点 内 实现 网 关 功 能 的 可 鉴别 、 可 寻 址 、 可 管理 单元 。 网 关 
功能 为 NFVI 人 网 点 (NFVI-PoP) 和 传输 网 络 之 间 提 供 了 互 连 ， 它 们 还 将 虚拟 网 络 连 
接 到 现 有 的 网 络 组 件 中 。 网 关 可 以 通过 移 除 和 增加 分 组 首部 等 方式 使 分 组 跨越 不 同 
的 网 络 。 网 关 可 以 运行 在 运输 层 或 应 用 层 来 对 IP 分 组 或 数据 链 路 分 组 进行 处 理 。 
存储 结 点 : NEVI 结 点 内 通过 计算 、 存 储 和 网 络 功能 提供 存储 资源 的 可 鉴别 、 可 寻 址 、 
可 管理 单元 。 存 储 在 物理 上 可 以 以 多 种 方式 实现 ， 例 如 ， 它 能 够 在 计算 结 点 内 以 组 
件 的 形式 实现 。 另 一 种 实现 方式 是 在 NFVI 结 点 内 以 独立 于 计算 结 点 之 外 的 物理 结 点 
形式 实现 。 这 类 存储 结 点 可 以 是 一 个 能 通过 远程 存储 技术 (如 网 络 文件 系统 ( NFS) 
和 光纤 信道 ) 访问 的 物理 设备 。 
e 网 络 结 点 : 它们 是 NEFVI 结 点 内 通过 计算 、 存 储 和 网 络 转 发 功能 提供 网 络 资源 (如 交 
换 和 路 由 ) 的 可 鉴别 、 可 寻 址 、 可 管理 单元 。 
一 个 NFVI 结 点 内 的 计算 域 通常 以 多 个 互 连 的 物理 设备 的 方式 进行 部 署 。 物 理 的 计算 域 
结 点 可 能 包括 一 些 多 核 处 理 器 、 内 存 子 系统 和 网 卡 等 物理 资源 ， 这 些 互 连结 点 的 集合 构成 了 
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NFVI 结 点 和 NFVI 人 网 点 ( NFVI-PoP)。 一 个 NFV 服务 提供 商 可 能 需要 维护 分 布 在 多 个 地 
方 的 NFVI 入 网 点 ， 为 各 类 用 户 提 供 服 务 ， 每 个 用 户 都 可 以 在 不 同 NFVI 入 网 点 的 计算 域 结 
点 上 实现 他 们 的 VNE 软件 。 
K 8-2 列 出 了 在 ISG NFV 计算 域 文档 中 建议 的 部 署 场景 ， 这 些 场景 包括 如 下 几 部 分 。 
e 集成 网 络 运营 商 : 一 个 公司 有 一 批 硬件 设备 ， 并 在 这 些 设备 上 部 署 运行 VNF 和 管理 
程序 ， 例如 私有 云 或 数据 中 心 。 
。 托管 多 个 虚拟 网 络 运营 商 的 网 络 运营 商 : 以 集成 网 络 运营 商场 景 为 基础 ， 在 相同 设 
备 上 托管 了 其 他 虚拟 网 络 运营 商 ， 例 如 混合 云 。 . 
e 托管 网 络 运营 商 : 一 个 IT 服务 公司 (如 惠普 、 富 士 通 ) 管理 计算 硬件 、 基 础 设施 网 
络 和 管理 程序 ， 而 另 一 个 网 络 运营 商 (如 BT 和 Verizon) 在 此 之 上 运行 YNF。IT 服 
务 公司 保证 这 些 VNF 的 物理 安全 性 。 
。 托管 通信 运营 商 : 与 托管 网 络 运营 商场 景 类 似 ， 但 是 这 里 托管 了 多 个 通信 服务 运营 
商 ， 例 如 社区 云 。 
© 托管 通信 和 与 应 用 运营 商 : 与 前 一 个 场景 类 似 , 但 是 除了 托管 网 络 与 通信 运营 商 之 外 ， 
也 提供 了 数据 中 心里 的 服务 器 ， 方 便 用 户 部 署 虚 拟 化 应 用 ， 例 如 公有 云 。 
se 用 户 端的 托管 网 络 服务 : 与 集成 网 络 运营 商场 景 类 似 ,但 在 这 个 例子 里 ，NFV 服务 
提供 商 的 设备 位 于 用 户 端 ， 例 如 住宅 区 或 公司 内 的 远程 托管 网 关 ， 以 及 防火 墙 、 虚 
拟 私有 网 络 网 关 等 远程 托管 联网 设备 。 
e 用 户 设备 端的 托管 网 络 服务 : 与 集成 网 络 运营 商场 景 类 似 ， 但 在 这 个 例子 里 ， 设 备 
位 于 用 户 端 设 备 上 ， 该 场景 可 以 用 于 管理 企业 网 ， 私 有 云 也 可 以 采用 这 种 方式 来 
部 署 。 
表 8-2 一 些 实际 的 部 署 场景 


TESE oe u NE 


集成 网 络 运营 商 


ST EEE IN TNE O TEF N 
jet aa Tees Ce Ct ee eT 
ET | w ee 


用 关山 的 托管 MR 和 | CC | nN | oN | N 

用 户 设备 端的 托管 网 络 服务 | coo | TN N 

说 明 : 不 同 的 字母 表示 不 同 的 公司 或 机 构 ， 并 代表 不 同 的 角色 (例如 , H= 托管 提供 商 , N= 网 络 运营 商 , P= 公众 
C= 用 户 )。 带 数字 的 网 络 运 营 商 (N1, N2 等) 表示 多 个 独立 的 托管 网 络 运营 商 )。 


在 前 文 提 到 的 四 种 云 类 型 的 定义 请 参见 美国 国家 标准 与 技术 研究 院 (National Institute 
of Standards and Technology, NIST) 的 云 计 算 模 型 (参见 第 13 章 )。 


8.1.5 管理 程序 域 


管理 程序 域 是 一 个 将 硬件 抽象 出 来 ， 并 实现 诸如 虚拟 机 开启 和 关闭 、 按 某 种 策略 执行 、 
改变 规模 、 实 时 迁移 、 高 可 用 性 等 服务 的 软件 环境 。 管 理 程序 域 主 要 包括 以 下 单元 。 
。 计算 / 存储 资源 共享 与 管理 : 管理 这 些 计算 /存储 资源 ， 并 为 虚拟 机 提供 这 些 虚拟 资 
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源 的 访问 。 
e 网 络 资源 共享 与 管理 : 管理 这 些 网 络 资源 ， 并 为 虚拟 机 提供 这 些 虚拟 资源 的 访问 。 
e 虚拟 机 管理 与 API : 为 单个 VNFC 实例 提供 执行 环境 ( [Vn-NfJ/VM， 也 即 图 8-2 中 
的 接口 7)。 
e 控制 与 管理 代理 : 提供 到 虚拟 化 基础 设施 管理 器 (VIM) 的 连接 ， 参 见 图 7-8。 
e vswitch : 在 管理 程序 域 实现 的 虚拟 交换 机 功能 (将 在 下 一 段 具 体 描述 ), 但 是 从 功能 
上 来 说 ， 它 是 构成 基础 设施 网 络 域 不 可 或 缺 的 部 分 。 
vswitch 是 由 管理 程序 实现 的 以 太 网 交换 机 ， 它 将 虚拟 机 的 虚拟 网 卡 和 计算 结 点 的 网 卡 
进行 了 互 连 。 如 果 两 个 VNF 位 于 相同 的 物理 主机 上 ， 它 们 会 通过 相同 的 vswitch 互 连 ， 而 
如 果 两 个 VNF 位 于 不 同 的 物理 主机 上 ,它们 之 间 的 连接 会 通过 第 一 个 vswtich 到 达 网 卡 ， 
然后 再 连 到 外 部 交换 机 上 。 而 这 个 外 部 交换 机 会 将 数据 转发 到 目的 主机 的 网 卡 上 。 最 后 ， 目 
的 主机 的 网 卡 会 将 数据 转发 到 它 的 内 部 vswitch 上 ， 并 到 达 目 的 VNF。 


8.1.6 ”基础 设施 网 络 域 


基础 设施 网 络 域 (IND) 完成 了 多 项 工作 ,具体 包括 : 

e 为 分 布 式 VNF 的 各 个 VNEC 提供 通信 信道 。 

e 为 不 同 的 VNF 之 间 提 供 通 信 信 道 。 

e 为 VNF 和 它们 的 管理 与 编排 模块 之 间 提 供 通信 信道 。 

© 为 NFVI 组 件 和 管理 与 编排 模块 之 间 提 供 通 信 信 和 道 。 

o 是 VNFC 远程 部 署 的 工具 。 

e 是 与 现 有 运营 商 网 络 互 连 的 工具 。 

图 8-2 描绘 了 为 IND 所 定义 的 重要 参照 点 。 如 前 文 所 述 ，Ha/CSr-Ha/Nr 定义 了 IND 和 
计算 域 的 服务 器 /存储 设备 之 间 的 接口 ， 它 将 计算 域 的 网 卡 连 接 到 基础 设施 网 络 域 的 网 络 资 
源 上 。Ex-Nf (图 8-2 中 的 接口 13 ) 是 与 现 有 / 非 虚拟 化 网 络 之 间 的 参照 点 ， 而 参照 点 [VI- 
HA]/Nr 是 IND 的 硬件 网 络 资源 和 虚拟 化 层 之 间 的 接口 ， 其 中 虚拟 化 层 为 虚拟 网 络 实体 提供 
了 容器 接口 。 参 照 点 [Vn-NfIMN (图 8-2 中 的 接口 7 ) 是 虚拟 网 络 容器 接口 (例如 一 条 链 路 或 
一 个 局 域 网 )， 它 为 YNFC 实例 之 间 传 递 信息 。 需 要 注意 的 是 ， 一 个 单独 的 虚拟 网 络 (VN) 
可 以 支持 多 个 VNFC 实例 对 之 间 的 通信 (例如 一 个 局 域 网 )。 

管理 程序 域 提供 的 虚拟 化 功能 和 基础 设施 网 络 域 提 供 的 虚拟 化 功能 有 较 大 的 区 别 。 其 中 
管理 程序 域 的 虚拟 化 采用 了 虚拟 机 技术 为 单独 的 VNFC 创建 执行 环境 ， 而 IND 的 虚拟 化 则 
为 VNFC 之 间 及 其 与 NFV 生态 系统 外 部 网 络 结 点 的 互 连 创建 了 虚拟 网 络 ， 这 些 外 部 网 络 结 
点 也 称 为 物理 网 络 功能 (physical network function, PNF )。 

虚拟 网 络 

首先 ， 我 们 需要 了 解 虚 拟 网 络 (virtual network) 这 一 术语 在 ISG NEV 文档 中 是 怎样 使 
用 的 。 在 通常 情况 下 ， 虚 拟 网 络 是 更 高 的 软件 层 对 物理 网 络 资源 的 抽象 ， 虚 拟 网 络 技术 使 得 
网 络 运营 商 能 够 支持 多 个 虚拟 网 络 ， 而 且 这 些 虚 拟 网 络 之 间 是 相互 隔离 的 。 虚 拟 网 络 的 用 户 
不 需要 了 解 底层 物理 网 络 的 细节 ， 也 不 需要 知道 共享 这 些 物理 网 络 资源 的 其 他 虚拟 网 络 的 流 
量 。 两 种 创建 虚拟 网 络 的 通用 方法 分 别 是 : ( 1 ) 基于 协议 的 方法 ， 该 方法 根据 协议 首部 的 字 
段 来 定义 虚拟 网 络 ; (2) 基于 虚拟 机 的 方法 ， 在 该 方法 中 ， 管 理 程序 创建 一 组 虚拟 机 并 构成 
一 个 虚拟 网 络 。NFVI 网 络 虚拟 化 结合 了 这 两 种 方法 。 
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二 层 虚 拟 网 络 与 三 层 虚拟 网 络 

根据 虚拟 网 络 是 在 二 层 (Layer 2, 
L2) 的 局 域 网 媒体 访问 控制 (MAC) 
层 还 是 在 三 层 (Layer 3, L3 ) AY IP Je 
进行 定义 ， 可 以 将 基于 协议 的 虚拟 
网 络 协议 划分 为 两 类 。 对 于 二 层 的 虚 
拟 网 络 ， 虚 拟 局 域 网 通过 MAC 层 首 
部 的 字段 进行 区 分 ， 比 如 MAC 地 址 
或 虚拟 局 域 网 号 。 举 个 数据 中 心 的 例 
子 ， 所 有 连接 到 同一 个 以 太 网 交换 机 
的 服务 器 和 端 系统 都 支持 虚拟 局 域 
网 。 现 在 假设 有 一 台 卫 路 由 器 在 数 
据 中 心中 连接 了 两 个 不 同 的 网 段 ， 如 
图 8-5 所 示 。 正 常情 况 下 ，IP 路 由 器 
都 会 移 除 到 达 的 以 太 网 帧 的 MAC 首 
部 ， 并 增加 一 个 新 的 MAC 首部 , 然 “ 
后 将 其 转发 到 下 一 个 网 络 中 。 只 要 在 图 8-5 网络 虚 拟 化 的 层级 
路 由 器 上 增加 额外 的 功能 来 支持 二 层 
虚拟 网 络 ， 比 如 路 由 器 能 对 离开 的 MAC 帧 重新 插入 虚拟 局 域 网 号 ， 就 能 扩大 二 层 虚 拟 网 络 
的 规模 并 跨越 这 个 路 由 器 。 类 似 地 ， 如 果 一 个 公司 有 两 个 通过 路 由 器 和 专线 互 连 的 数据 中 
心 ， 那 么 路 由 器 通过 利用 二 层 虚拟 网 络 的 功能 就 能 扩大 虚拟 网 络 的 规模 。 

三 层 虚拟 网 络 利 用 了 IP 首部 中 的 一 个 或 多 个 字段 。 一 个 典型 的 例子 就 是 虚拟 专用 网 
( virtual private network, VPN)， 它 采用 了 IPsec 技术 。VPN 中 传输 的 分 组 会 在 IP 首部 外 封 
装 一 层 新 的 首部 ， 而 且 数据 也 会 被 加 密 ， 从 而 保证 VPN 的 数据 在 因特网 等 第 三 方 网 络 上 传 
输 时 的 隔离 性 和 安全 性 。 

第 9 章 将 会 介绍 虚拟 局 域 网 和 VPN 的 更 多 相关 细节 。 

NFVI 虚拟 网 络 的 可 选 方法 

ISG NFV 将 虚拟 网 络 定 义 为 NFVI 上 为 一 个 或 多 个 VNF 提供 网 络 连接 的 网 络 结构 ， 因 
此 ， 虚 拟 网 络 的 概念 超出 了 NFV 基础 设施 的 范畴 ， 目 前 也 尚未 得 到 解决 。 在 NFV 中 ， 虚 拟 
网 络 就 是 VNF 之 间 的 网 络 。 

网 络 域 文 档 提 出 了 三 种 提供 虚拟 网 络 服务 的 方法 : 

e 基于 基础 设施 的 虚拟 网 络 。 

o 采用 了 虚拟 覆盖 网 的 分 层 虚 拟 网 络 。 

© 采用 了 虚拟 分 区 的 分 层 虚拟 网 络 。 

一 个 具体 的 虚拟 网 络 可 以 采用 其 中 的 某 种 方法 实现 ， 也 可 以 采用 多 种 方法 相 结合 的 方式 
实现 。 

基于 基础 设施 的 虚拟 网 络 利 用 了 NFVI 计算 与 网 络 组 件 固有 的 联网 功能 ， 其 中 对 地 址 空 
间 进 行 分 区 以 保证 虚拟 网 络 中 的 VNF 组 可 以 通过 IP 地 址 来 定义 。IND 文档 给 出 了 以 下 几 种 
基于 三 层 基础 设施 虚拟 网 络 的 例子 : 

o 每 个 VNF 都 分 配 了 唯一 的 全 地址， 并 且 这 些 地 址 不 能 与 NFVI 中 其 他 单元 的 地 址 重 番 。 
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e 通过 在 每 个 计算 结 点 的 第 三 层 转发 功能 中 对 访问 控制 列表 进行 管理 ， 从 而 实现 VNF 
到 虚拟 机 的 逻辑 分 离 。 
e VNF 和 物理 设施 之 间 的 第 三 层 转发 可 以 根据 位 于 计算 结 点 上 的 第 三 层 转发 信息 库 来 
处 理 。 

e 边界 网 关 协 议 (BGP) 等 控制 平面 协议 可 以 用 于 通告 计算 主机 之 间 的 VNF 可 达 性 。 

其 他 两 种 方法 称 为 分 层 的 虚拟 网 络 方法 (layered virtual network approach )， 而 这 两 种 方 
法 允许 地 址 空间 重 琶 ， 也 就 是 说 一 个 VNF 可 以 使 用 相同 的 IP 地 址 加 入 一 个 或 多 个 虚拟 网 络 
中 。IND 的 虚拟 化 层 实际 上 使 用 虚拟 覆盖 网 或 虚拟 分 区 技术 在 底层 的 NEVI 网 络 架 构 中 创建 
了 私有 的 拓扑 。 

基于 虚拟 覆盖 网 的 虚拟 网 络 (virtual overlay VN) 使 用 了 覆盖 网 络 的 概念 。 履 盖 网 络 本 
质 上 是 一 层 建 立 在 其 他 网 络 之 上 的 逻辑 网 络 。 可 以 认为 覆盖 网 中 的 结 点 是 通过 虚拟 链 路 或 逻 
辑 链 路 相连 的 ， 而 每 一 条 链 路 都 对 应 着 一 条 在 底层 网 络 可 能 由 若干 条 物理 链 路 组 成 的 路 径 ， 
但 是 ， 覆 盖 网 不 具备 控制 两 个 覆盖 网 络 结 点 之 间 路 由 选择 的 能 力 。 在 NFV OSE, Bi 
是 供 VNF 所 使 用 的 虚拟 网 络 ， 底 层 网 络 则 由 基础 设施 网 络 资源 构成 。 这 些 履 盖 网 通常 由 边 
界 结 点 创建 ， 而 这 些 结 点 有 双重 身份 ， 分 别 参 与 虚拟 网 络 的 构建 和 扮演 基础 设施 网 络 资源 的 
角色 。 相 比 之 下 ， 基 础 设施 网 络 中 的 核心 结 点 只 参与 基础 设施 网 络 ， 而 且 并 不 知道 覆盖 网 的 
存在 。 前 面 介 绍 的 二 层 和 三 层 虚 拟 网 络 适用 于 这 一 类 虚拟 网 络 。 

基于 虚拟 分 区 的 虚拟 网 络 则 在 端 到 端的 基础 上 直接 将 虚拟 机 集成 为 基础 设施 网 络 ， 这 里 
的 虚拟 机 也 称 作 虚拟 网 络 分 区 。 在 基础 设施 网 络 的 边界 结 点 和 核心 结 点 之 上 同时 有 许多 相互 
独立 的 虚拟 拓扑 ， 每 个 拓扑 都 对 应 着 一 个 虚拟 网 络 ， 这 里 的 虚拟 网 络 在 端 到 端的 基础 上 ， 由 
跨 基 础 设施 网 络 的 虚拟 网 络 转发 表 、 逻 辑 链 路 以 及 控制 平面 构成 。 


8.2 虚拟 网 络 功能 


虚拟 网 络 功能 是 传统 网 络 功 能 的 虚拟 化 实现 ， 表 8-3 列 出 了 部 分 能 够 虚拟 化 的 功能 。 
表 8-3 ”可 虚拟 化 的 网 络 功能 


网 络 单元 功能 
交换 单元 宽带 网 络 网 关 ， 和 运营 商 级 网 络 地 址 转换 器 ， 路 由 器 
移动 网 络 结 点 归属 位 置 寄存 器 /归属 用 户 服务 器 ， 网 关 ， 支 持 通用 分 组 无 线 服 务 (GPRS) 协议 的 结 
点 ， 无 线 网 络 控制 器 ， 各 种 结 点 B 类 功能 
用 户 端 设备 AAR Hat, HLA 
隧道 网 关 单元 IPsec/ 安全 套 接 字 协议 层 (SSL) 虚拟 专用 网 网 关 
流量 分 析 深度 包 检 测 (DPI)， 体 验 质量 测量 (QoE) 
保证 服务 保证 ， 服 务 等 级 约定 (SLA) 监视 、 测 试 和 诊断 
信 令 会 话 边 界 控制 器 ，IP 多 媒体 子 系统 (IMS) 组 件 
控制 平面 /访问 功能 AAA (认证 、 授 权 和 计 费 ) 服务 器 ， 策 略 调控 平台 ， 动 态 主机 配置 协议 (DHCP) 服务 器 
应 用 优化 内 容 分 发 网 络 ， 缓 存 服务 器 ， 负 载 均 衡器 ， 加 速 器 
安全 性 防火 墙 ， 病 毒 扫描 程序 ， 人 侵 检 测 系统 ， 垃 圾 邮件 防护 
8.2.1 VNF 接口 


前 文中 提 到 ，VNF 由 一 个 或 多 个 VNF 组 件 (VNFC) 组 成 ， 而 这 些 VNFC 会 在 内 部 连 
接 到 VNF， 这 种 内 部 结构 对 其 他 VNF 以 及 VNF 用 户 是 不 可 见 的 。 
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图 8-6 描述 了 与 VNF 相关 的 接口 。 


8.2.2 





图 8-6 VNF 接口 图 


SWA-1 : 该 接口 实现 了 VNF 与 其 他 VNF, PNF 以 及 端 结 点 之 间 的 通信 ， 需 要 注意 
的 是 ， 这 个 接口 将 VNF 视 作 一 个 整体 ， 而 不 是 单独 的 VNFC。SWA-1 接口 是 逻辑 接 
口 ， 它 利用 了 SWA-5 接口 所 提供 的 网 络 连通 性 服务 。 

SWA-2: 该 接口 实现 了 VNF 内 VNFC 之 间 的 通信 ， 它 由 厂商 自己 定义 ， 因 此 不 存在 
标准 化 的 问题 。 该 接口 也 可 以 利用 SWA-5 接口 提供 的 网 络 连通 性 服务 ， 但 是 如 果 某 
个 VNF 的 两 个 VNFC 位 于 相同 的 主机 上 ， 还 可 以 采用 其 他 技术 来 减少 时 延 ， 增 加 吞 
吐 量 ， 这 些 在 后 面 会 具体 介绍 。 

SWA-3 : 该 接口 是 到 位 于 NFV 管理 与 编排 模块 内 的 VNF 管理 器 的 接口 ，VNF 管理 
器 负责 生命 周期 管理 (包括 创建 、 调 整 、 终 止 等 )。 该 接口 通常 利用 IP 以 网 络 连接 的 
方式 实现 。 

SWA-4: 该 接口 用 于 单元 管理 器 对 VNF 的 运行 时 管理 。 

SWA-5: 该 接口 描述 了 一 个 VNF 可 部 署 实例 的 执行 环境 ,每 个 VNFC 对 应 着 一 个 与 
虚拟 机 相连 的 虚拟 容器 接口 。 


VNFC 间 通 信 


前 文 提 到 ， 就 拥有 多 个 VNFC 的 VNF 来 说 ， 其 内 部 结构 对 外 是 不 可 知 的 ，VNF 以 一 个 
单独 的 功能 系统 在 网 络 中 呈现 。 但 是 ， 一 个 VNF 或 位 于 一 台 主 机 的 多 个 VNF 的 VNFC 内 
部 连接 需要 由 VNF 提供 商 具体 实现 ， 由 NFVI 提供 底层 支持 ， 由 VNF 管理 进行 管理 。VNF 
体系 结构 文档 描述 了 一 些 体系 结构 设计 模型 ， 它 们 计划 用 于 提供 想 要 的 性 能 和 服务 质量 
( quality of service, QoS )， 例 如 存储 或 计算 资源 的 访问 。 这 些 设 计 模型 一 个 最 重要 的 方面 就 
是 VNFC 间 的 通信 。 

图 8-7 描述 了 ETSI VNF 体系 结构 文档 中 6 种 使 用 不 同 网 络 技术 来 支持 VNFC 间 通 信 的 


1 ) 通过 硬件 交换 机 通信 。 在 这 种 情况 下 ， 虚 拟 机 支持 VNFC 绕 过 管理 程序 直接 访问 物 
理 网 卡 ， 这 种 方式 提高 了 位 于 不 同 物理 主机 的 VNFC 间 通 信 的 性 能 。 

2 ) 通过 管理 程序 中 的 虚拟 交换 机 来 通信 。 这 是 位 于 相同 位 置 VNFC 之 间 的 基本 通信 方 
法 ,但 是 这 种 方法 无 法 保证 某 些 VNF 所 需 的 QoS 或 性 能 。 
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图 8-7 VNEC 间 通 信 


3) 利用 合适 的 且 与 CPU 兼容 的 数据 处 理 加 速 库 和 驱动 能 够 实现 更 好 的 性 能 ， 这 个 库 从 
虚拟 交换 机 中 调用 。 一 个 商用 产品 的 例子 是 数据 平面 开发 包 ( DPDK)， 它 包含 一 组 数据 平面 
库 和 网 卡 控制 器 驱动 ， 能 够 在 英特尔 架构 的 平台 上 实现 快速 分 组 处 理 。 场 景 3 中 的 管理 程序 
是 一 类 管理 程序 (参见 图 7-3 )。 

4) 通过 部 署 在 带 有 单 根 输入 7 输出 虚拟 化 (SR-IOV) 网 卡 中 的 内 赃 交 换 机 ( eswitch ) 
通信 。SR-IOV 是 一 种 PCI-SIG 规范 ， 它 定义 了 将 一 个 设备 分 成 多 个 PCI express 请 求 者 ID 
(虚拟 功能 ) 的 方法 ,该 方法 允许 输入 /输出 内 存 管理 单元 (MMU) 区 分 不 同 的 数据 流 ， 并 
应 用 内 存 和 中 断 转换 ， 从 而 使 这 些 数据 流 能 被 传输 到 相应 的 虚拟 机 上 ， 并 防止 那些 非特 权 数 
据 流 影响 其 他 虚拟 机 。 

5 ) 部 署 在 带 有 SR-IOV 的 网 卡 中 的 内 概 交 换 机 ， 同 时 VNFC 中 也 部 署 了 数据 平面 加 速 
软件 。 

6 ) 一 组 总 线 直接 将 两 个 有 超 高 负载 或 超 低 时 延 需求 的 VNFC 互 连 起 来 。 这 种 方法 在 本 
质 上 采用 的 是 一 种 输入 /输出 信道 而 非 网 卡 来 通信 。 


8.2.3 VNF 扩展 


VNF 的 一 个 重要 特性 是 它 的 弹性 ， 也 即 VNF 具备 扩大 或 缩小 规模 (scale up/down) 以 
及 扩展 或 缩小 功能 (scale out/in) 的 能 力 。 每 个 VNE 都 有 自己 的 弹性 参数 ， 具 体 包 括 无 弹 


BSF NFV HH 145 


性 、 只 能 扩大 /缩小 规模 、 只 能 扩展 /缩小 功能 、 既 能 扩大 /缩小 规模 也 能 扩展 /缩小 功能 。 
扩大 规模 ”通过 增加 额外 的 物理 主机 或 虚拟 机 来 扩展 虚拟 网 络 功能 的 能 力 。 


扩展 功能 ”扩展 一 人 台 物 理 主机 或 虚拟 机 的 能 力 。 


VNF 通过 调整 它 所 属 的 VNFC 来 实现 功能 扩展 ， 扩 展 /缩小 功能 通过 增加 / 移 除 VNF 
所 属 的 VNFC 实例 来 实现 ， 扩 大 /缩小 规模 则 通过 向 VNF 现 有 的 VNFC 实例 中 增加 / 移 除 ”|215 
资源 来 实现 。 | 216 


8.3 NFV 管理 与 编排 9 


NFV 管理 与 编排 (MANO) 组 件 的 主要 功能 是 对 NEV 环境 进行 管理 与 编排 。 这 项 任务 
非常 复杂 ， 如 果 MANO 还 需要 与 现 有 的 运 维 支持 系统 (OSS) 以 及 业务 支持 系统 (BSS) 进 
行 交 互 和 协作 ， 从 而 为 由 物理 和 虚拟 元 素 构成 的 网 络 环境 提供 管理 功能 ，MANO 的 工作 将 
会 变 得 更 为 复杂 。 

图 8-8 显示 了 NFV-MANO 及 其 接口 的 基本 结构 ， 该 结构 由 ETSI MANO 文档 定义 。 从 
图 中 可 以 看 出 ， 总 共有 五 个 管理 模块 ; 其 中 三 个 在 NFV-MANO 内 部 ， 另 外 两 个 分 别 是 与 
VNF 关联 的 EMS 以 及 OSS/BSS， 后 两 个 模块 不 属于 MANO, 但 是 它们 需要 与 MANO 交互 
信息 从 而 对 用 户 的 网 络 环境 进行 全 局 性 管理 。 
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8-8 ”NFV-MANO 体系 框架 及 其 参照 点 


8.3.1 虚拟 基础 设施 管理 器 

虚拟 基础 设施 管理 器 (VIM) 的 功能 是 对 VNF 及 其 权限 内 的 计算 、 存 储 、 网 络 等 资源 的 
交互 进行 管理 和 控制 。 一 个 单独 的 VIM 实例 负责 管理 和 控制 管理 员 基 础 设施 域内 的 NFVI 计 
算 、 存 储 和 网 络 资源 ， 而 该 域 可 以 由 一 个 NFVI 入 网 点 的 资源 、 多 个 NFVI 入 网 点 的 资源 或 ”217 





日 本 节 部 分 资料 来 源 于 文献 [KHAN15]。 
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一 个 NFVI 入 网 点 的 资源 子 集 构成 。 对 于 全 网 级 的 网 络 环境 ， 一 个 MANO 需要 有 多 个 VIM。 
VIM 主要 完成 以 下 工作 。 
e 资源 管理 ， 具 体 包 括 : 
o 统计 NFV 基础 设施 专属 软件 (如 管理 程序 )、 计 算 、 存 储 和 网 络 资源 的 存量 。 
o 虚拟 设施 的 分 配 ， 例 如 虚拟 机 及 其 对 应 的 管理 程序 、 计 算 、 存 储 资源 和 相关 网 
络 连接 。 
o 基础 设施 资源 的 管理 与 分 配 ， 例 如 为 虚拟 机 增加 资源 、 提 高 能 源 使 用 效率 和 资 
源 回收 等 。 
e 运 维 : 
e NFV 基础 设施 管理 的 可 视 化 。 
© 从 NFV 基础 设施 的 角度 对 性 能 问题 进行 溯源 分 析 。 
e 基础 设施 故障 信息 的 收集 。 
e 与 资源 规划 、 监 视 和 优化 相关 的 信息 的 收集 。 


8.3.2 ”虚拟 网 络 功能 管理 器 


虚拟 网 络 功能 管理 器 ( VNFM) 主要 负责 VNF 的 管理 。 可 以 在 MANO 中 同时 部 署 多 个 
VNFM, 一 个 VNFM 对 应 一 个 VNF 或 一 个 VNFM 为 多 个 VNF 提供 服务 。VNFM 主要 完成 
以 下 工作 : 

VNF 实例 化 ,包括 VNF 部 署 模板 所 需 的 相关 VNF 配置 (例如 在 完成 VNF 实例 化 操 
作 之 前 的 初始 IP 地 址 配置 )。 

VNF 实例 化 时 所 需 的 可 用 性 检查 。 

VNF 实例 的 软件 更 新 与 升级 。 

VNF 实例 的 修改 。 

VNF 实例 功能 的 扩展 / 缩小 以 及 规模 的 扩大 /缩小 。 

与 VNF 实例 相关 的 NFVI 性 能 测量 结果 和 故障 /事件 信息 的 收集 。 
VNF 实例 的 辅助 与 自动 修复 。 

VNF 实例 的 终止 。 

VNF 生命 周期 管理 变化 的 通告 。 

VNF 实例 生命 周期 期 间 的 完整 性 管理 。 

完成 VIM 和 EM 之 间 配 置 及 事件 报告 的 协调 与 适应 工作 。 


8.3.3 NFV 编排 器 


NFV 编排 器 (NFVO) 主要 负责 资源 和 网 络 服务 的 编排 。 

资源 的 编排 主要 负责 在 不 同 VIM 的 管理 下 ， 对 资源 进行 管理 和 调节 。NFVO 对 不 同 的 
入 网 点 之 间或 单个 人 网 点 内 部 的 NEVI 资源 进行 协调 、 授 权 、 释 放 和 占用 ， 这 些 工作 主要 通 
过 与 VIM 的 北向 接口 API 交互 来 实现 ， 而 不 是 直接 用 NFVI 资源 来 完成 。 

网 络 服务 的 编排 主要 管理 和 调节 涉及 不 同 VNFM 域 中 VNF 的 端 到 端 服务 的 创建 ， 它 通 
过 以 下 方式 来 完成 这 些 工作 : 

e CE VNF 之 间 创 建 端 到 端 服 务 ， 这 项 工作 是 通过 与 各 自 的 VNEM 协调 而 实现 的 ， 这 

样 就 不 需要 直接 与 VNF 打交道 。 一 个 例子 就 是 在 某 个 厂商 的 基站 VNF 与 男 一 个 厂 
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商 的 核心 结 点 VNF 之 间 建 立 服 务 。 
o 它 能 在 适当 之 处 对 VNFM 进行 实例 化 。 
© 它 对 网 络 服务 实例 的 拓扑 进行 管理 (也 称 为 VNF 转发 图 )。 


8.3.4 仓库 


与 NFVO 相关 的 是 四 种 信息 仓库 ， 这 些 信 息 主 要 用 于 管理 与 编排 功能 。 

© 网 络 服务 目录 : 可 用 网 络 服务 列表 。 网 络 服务 目录 中 存储 了 可 供 将 来 使 用 的 可 部 署 
模板 ， 这 些 模 板 与 VNF 相关 ， 并 描述 了 它们 之 间 虚 拟 链 路 的 连通 性 。 

e VNF 目录 : 包括 所 有 可 用 VNF 描述 符 的 数据 库 。VNEF 描述 符 (VNFD) 描述 了 VNF 
的 部 署 和 操作 行为 需求 ，VNFM 在 VNF 实例 化 过 程 中 和 VNF 实例 的 生命 周期 管理 
中 会 用 到 它 。VNED 提供 的 信息 也 可 以 被 VNFO 用 于 管理 与 编排 网 络 服务 以 及 NEFVI 
的 虚拟 资源 。 

e NFV 实例 : 包含 网 络 服务 实例 和 相关 VNF 实例 细节 的 列表 。 

e NFVI 资源 : 用 于 创建 NFV 服务 的 VNFI 资源 列表 。 


8.3.5 单元 管理 


单元 管理 主要 负责 VNF 的 故障 、 配 置 、 计 费 、 性 能 和 安全 (FCAPS) 管理 ， 这 些 管理 
功能 同样 也 是 VNFM 的 职责 。 但 是 相对 于 VNFM 来 说 ， 单 元 管理 能 够 通过 与 VNF 之 间 的 
私有 接口 来 完成 这 项 管理 工作 。 然 而 ， 单 元 管理 需要 确保 它 能 通过 开放 的 参照 点 ( VeEm- 
Vnfm) 45 VNFM 交互 信息 。 单 元 管理 可 能 需要 感知 虚拟 化 ， 并 与 VNFM 协作 从 而 完成 这 些 
功能 ， 而 这 些 功能 需要 交互 与 VNF 相关 的 VNFI 资源 信息 。 单 元 管理 的 功能 如 下 。 

e 配置 由 VNF 提供 的 网 络 功 能 。 
对 VNF 提供 的 网 络 功能 进行 故障 管理 。 
对 VNF 功能 的 使 用 进行 计 费 。 
收集 VNF 所 提供 功能 的 性 能 测量 结果 。 
对 VNF 功能 进行 安全 管理 。 


8.3.6 OSS/BSS 


OSS/BSS 用 于 与 管理 员 的 其 他 操作 和 业务 支持 功能 的 结合 ， 这 些 功能 在 现 有 的 体系 框 
架 中 并 没有 明确 描述 ,但 是 将 来 与 NFV-MANO 体系 框架 中 的 功能 模块 会 有 信息 交互 。OSS/ 
BSS 可 以 提供 对 旧 有 系统 的 管理 与 编排 ,还 能 对 运营 商 网 络 中 旧 有 网 络 功 能 所 提供 的 服务 实 
现 完全 的 端 到 端 可 视 化 。 

原则 上 来 说 ， 可 以 通过 扩展 现 有 OSS/BSS 的 功能 来 直接 管理 VNF 和 NFVI, 但 是 可 能 
需要 针对 厂商 进行 专门 的 实现 。 由 于 NFV 是 一 个 开放 的 平台 ,通过 开放 的 接口 (如 MANO 
中 的 接口 ) 来 管理 NFV 实体 更 为 合理 ， 但 是 现 有 的 OSS/BSS 可 以 通过 提供 尚未 被 NFV 
MANO 支持 的 附加 功能 来 增加 NFV MANO 的 价值 。 这 些 工 作 可 以 通过 NFV MANO 和 现 有 
OSS/BSS 之 间 的 开放 参照 点 (Os-Ma) 来 完成 。 


8.4 NFV 用 例 
ISG NFV 已 经 部 署 了 一 些 具有 代表 性 的 服务 模型 和 高 层 用 例 ， 这 些 模 型 和 用 例 可 以 通 
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过 NFV 来 解决 。 这 些 用 例 的 目的 主要 是 为 了 推动 相关 标准 和 产品 的 进一步 发 展 ， 以 实现 全 
网 级 的 实现 。 用 例文 档 标 记 和 描述 了 第 一 类 服务 模型 和 高 层 用 例 ， 这 些 模型 和 用 例 在 NFV 
ISG 成 员 公司 的 观点 来 看 代表 重要 的 服务 模型 和 NFYV 应 用 的 初始 领域 ,跨越 了 NFV ISG 已 
解决 的 技术 挑战 。 
当前 总 共有 9 个 用 例 ， 这 些 用 例 分 为 体系 结构 用 例 和 面向 服务 用 例 ， 表 8-4 介绍 了 这 些 
用 例 。 
表 8-4 ETSI NFV 用 例 
用 例 描述 

体系 结构 用 例 

在 NEVI 作为 服务 时 ， 提 供 了 将 云 计算 服务 模型 中 的 基础 设施 
即 服务 (Iaas) 和 网 络 即 服务 (NaaS) 映射 为 要 素 的 方法 

虚拟 化 在 企业 中 的 应 用 ， 它 提供 了 一 种 开销 更 低 的 模型 ， 在 这 
个 模型 中 管理 员 提 供 服务 ， 而 企业 则 消耗 它 所 要 求 的 资源 

与 VNFaas 类 似 ， 但 是 在 这 个 用 例 中 ， 企 业 可 以 自己 部 署 或 引 


网 络 功能 虚拟 化 基础 设施 即 服务 (NFVIaaS ) 


虚拟 网 络 功能 即 服务 (VNFaaS ) 


虚拟 网 络 平台 即 服务 (VNPaaS) 


A VNF 实例 

VNF 转发 图 通过 组 合 来 建立 端 到 端 服务 
面向 服务 用 例 
移动 核心 网 和 IMS 的 虚拟 化 包含 移动 分 组 核心 网 和 IMS 的 虚拟 化 
移动 基站 虚拟 化 包含 移动 无 线 接 入 网 到 标准 服务 器 的 虚拟 化 
家 庭 环 境 虚 拟 化 包含 CPE 的 虚拟 化 ， 例 如 机 项 盒 住宅 网 关 

包含 内 容 分 发 网 络 的 虚拟 化 ， 它 支持 一 个 扩展 性 更 高 、 非 峰值 
CDN 虚拟 化 (vCDN) 开销 更 低 的 运 维 模型 


包含 固 网 接 入 基础 设施 虚拟 化 ， 它 能 优化 部 署 开销 ， 并 与 无 线 


HRA NFV 接 入 结 点 一 同 部 署 


8.4.1 体系 结构 用 例 


这 四 种 体系 结构 用 例 主 要 关注 如 何 提供 多 用 途 服务 以 及 基于 NFVI 体系 结构 的 应 用 。 

NFVI 即 服 务 

在 NFVIaaS 场景 下 ， 服 务 提供 商 实 现 和 部 署 了 NFVI， 而 该 NFVI 能 够 被 NFVIaas 提 
供 商 和 其 他 网 络 服务 提供 商用 来 支持 VNF。 对 于 NFVIaaS 提供 商 来 说 ， 该 服务 提供 了 规模 
经 济 ， 基 础 设施 可 以 用 于 满足 提供 商 自 己 部 署 VNF 的 需要 ， 提 供 商 还 可 以 将 额外 的 资源 出 
售 给 其 他 服务 提供 商 。NFVIaaSs 客户 可 以 使 用 其 他 服务 提供 商 的 NFVI 来 提供 服务 ， 这 样 这 
些 客户 就 能 灵活 而 快速 地 部 署 VNF， 以 增加 新 服务 或 者 扩大 现 有 服务 的 规模 。 这 种 服务 对 
云 计算 提供 商 非常 有 吸引 力 。 

图 8-9 描绘 了 一 个 例子 [ONF14]， 在 这 个 例子 中 服务 提供 商 X 提 供 了 一 个 虚拟 化 的 负 
载 均衡 服务 ， 运 营 商 XX 的 一 些 客户 需要 对 某 些 位 置 上 的 服务 进行 负载 均衡 ， 这 些 位 置 上 的 
NFVI 不 归 运 营 商 X 负 责 ， 而 由 男 一 个 运营 商 Z 负责 。NFVIaaS 为 运营 商 Z 提供 了 一 种 将 
NFV 基础 设施 (计算 、 网 络 、 管 理 程 序 等 ) 租借 给 运营 商 X 的 方法 ， 这 样 X 就 能 访问 这 些 
基础 设施 ， 否 则 这 些 基 础 设施 会 非常 昂贵 。 而 通过 租用 的 方式 ， 这 些 资源 可 以 按 需 索取 ， 从 
而 根据 需要 控制 规模 。 

VNF 即 服 务 

NFVIaas 与 基础 设施 即 服务 (IaaS) 的 云 模型 非常 类 似 ， 而 VNFaas 则 与 软件 即 服 务 
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(SaaS) 云 模 型 非常 类 似 。NFVIaaS 提供 了 虚拟 化 基础 设施 ， 从 而 使 得 网 络 服务 提供 商 能 够 
用 更 少 的 时 间 和 开支 来 开发 及 部 署 VNF ， 而 不 需要 自己 部 署 和 实现 NFVI 及 VNEF。 而 如 果 
有 了 VNFaaS， 服 务 提供 商 就 可 以 开发 一 些 可 以 直接 销售 给 客户 的 VNF， 这 种 模型 非常 适合 
对 用 户 端 设 备 ( 例 如 路 由 器 和 防火 墙 ) 进行 虚拟 化 。 






yaam CD “~ 运营 商 X 
NFVIaaS 的 运营 商 Z 


图 8-9 NFVIaaS 案例 


虚拟 网 络 平台 即 服务 

VNPaaS 与 将 VNF 作为 虚拟 网 络 基础 设施 组 件 的 NFVIaaS 非常 相似 ， 它 们 的 主要 区 
别 是 VNPaas 的 编程 能 力 和 开发 工具 ， 这 些 工具 允许 用 户 创建 和 配置 与 ETSI NFV 兼容 的 
VNF， 从 而 增加 服务 提供 商 提供 的 VNF 目录 。 这 样 ， 所 有 第 三 方 和 定制 的 VNF 都 可 以 通过 
VNF 转发 图 (VNF FG) 来 编排 。 

VNF 转发 图 

VNF FG 允许 虚拟 设备 以 灵活 的 方式 来 组 链 ， 这 种 技术 也 称 为 服务 链 (service chaining). 
举 个 例子 ， 一 条 流 需 要 按 序 穿 过 网 络 监视 VNF 、 负 载 均 衡 VNF 和 防火 墙 WNF。VNE FG 用 
例 基于 信息 模型 ， 该 模型 将 VNF 和 物理 实体 描述 为 合适 的 管理 /编排 系统 由 服务 提供 商 使 
用 。 这 个 模型 还 描述 了 实体 的 特征 ， 包 括 每 个 VNF 的 NFV 基础 设施 需求 、VNF 之 间 所 需 
的 连接 以 及 laas 服务 中 的 物理 网 络 。 为 了 确保 端 到 端 服务 所 需 的 性 能 和 弹性 ， 该 信息 模型 
必须 在 图 中 为 每 个 VNF 指定 容量 、 性 能 和 弹性 需求 。 为 了 满足 SLA， 管 理 与 编排 系统 需要 
对 服务 图 中 的 结 点 和 链 路 进行 监视 。 理 论 上 ,一 个 VNF FG 可 以 跨越 多 个 网 络 服 务 提供 商 的 
设备 。 


8.4.2 面向 服务 用 例 


这 些 用 例 关 注 为 端 用 户 提供 服务 ， 这 里 底层 的 基础 设施 对 于 用 户 是 透明 的 。 

移动 核心 网 和 IP 多 媒体 子 系统 的 虚拟 化 

移动 蜂窝 网 络 经 过 演化 已 经 包含 了 各 种 互连网 络 功 能 单元 ， 它 们 通常 包括 大 量 专 用 的 
硬件 设施 。NFYV 的 目标 是 通过 利用 标准 的 IT 虚拟 化 技术 将 不 同类 型 的 网 络 设备 整合 到 位 于 
NEVI 入 网 点 的 商用 标准 大 容量 服务 器 、 交 换 机 和 存储 设备 上 ， 从 而 降低 网 络 的 复杂 性 以 及 
相关 的 运 维 问题 。 

移动 基站 的 虚拟 化 

本 用 例 的 焦点 是 移动 网 络 中 的 无 线 接 人 网 (radio access network, RAN) 设备 。RAN 是 
电信 系统 的 一 部 分 ， 它 通过 无 线 技 术 接 人 到 移动 网 络 服务 提供 商 的 核心 网 。RAN 至 少 包 括 
用 户 端 的 硬件 或 者 用 于 访问 移动 网 络 的 基站 的 移动 设备 ， 一 些 RAN 功能 可 以 被 虚拟 化 为 运 
行 在 商用 标准 基础 设施 上 的 VNF。 


N 
N 


N 
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家 庭 环 境 的 虚拟 化 

本 用 例 用 于 解决 将 网 络 服务 提供 商 设 备 作 为 用 户 端 设备 放置 于 住宅 区 的 情况 。 这 些 用 户 
端 设备 标明 了 运营 商 /服务 提供 商 在 用 户 端的 接 入 点 ， 它 们 通常 包括 用 于 因特网 和 IP 电话 
服务 所 需 的 住宅 区 网 关 (例如 用 于 数字 用 户 线 [DSL] 或 电缆 的 调制 解 调 器 /路 由 器 )， 以 及 
可 以 存储 个 人 视频 录像 等 多 媒体 服务 的 机 顶 盒 。NFYV 技术 能 用 很 少 的 开销 和 时 间 将 以 前 分 
散 的 功能 集中 起 来 ， 同 时 新 服务 也 可 以 按 需 扩充 ， 因 此 NFV 是 一 种 理想 的 实现 方法 。 此 外 ， 
VNF 可 以 将 服务 部 署 在 网 络 服务 提供 商 的 入 网 点 处 ， 这 就 极 大 简化 了 家 庭 的 电子 环境 ， 降 
低 了 端 用 户 和 运营 商 的 资产 开支 。 

CDN 的 虚拟 化 

内 容 分 发 ， 特 别 是 视频 数据 的 分 发 ， 是 所 有 网 络 中 共有 的 一 大 难题 ， 因 为 网 络 要 向 端 用 
户 传 输 大 量 且 呈 持续 增长 的 流量 。 视 频 流 量 的 增长 是 由 多 种 因素 驱动 的 ， 包 括 视频 分 发 从 广 
播 方式 到 利用 IP 进行 单 播 传 输 的 改变 、 用 于 视频 消耗 的 各 种 设备 以 及 IP 网 络 在 帧 频 等 方面 
提供 了 越 来 越 好 的 视频 质量 。 

与 现在 视频 流量 日 渐 增 长 相对 应 的 是 ， 用 户 对 质量 的 需求 也 在 不 断 提 高 : 因特网 成 为 为 
端 用 户 提供 直播 和 点 播 服 务 越 来 越 重要 的 平台 ， 而 且 因特网 所 提供 的 服务 在 质量 上 已 经 与 传 
统 的 电视 服务 不 相 上 下 。 

一 些 因特网 服务 提供 商 开 始 在 自己 的 网 络 中 部 署 私有 的 内 容 分 发 网 络 ( Content Delivery 
Network, CDN) 缓存 结 点 ， 以 改善 视频 和 其 他 高 带宽 服务 的 传输 。 这 些 缓 存 结 点 通常 部 署 在 
专用 的 设施 上 ， 这 些 设 施 位 于 定制 的 或 工业 标准 服务 器 平台 上 。CDN 的 缓存 结 点 和 控制 结 
点 实际 上 也 可 以 进行 虚拟 化 ， 而 CDN 虚拟 化 的 好 处 与 其 他 NFV 用 例 (如 VNFaaS) 相似 。 

固定 接 入 网 的 功能 虚拟 化 

NFV 具备 将 混合 光纤 / 铜 缆 接 人 网 络 和 无 源 光 网 络 (passive optical network, PON) 的 远 
程 功能 虚拟 化 为 家 庭 和 混合 光纤 /无 线 接 人 网 的 潜能 。 该 用 例 能 通过 将 一 些 复杂 的 处 理 迁 移 
到 距离 网 络 更 近 的 地 方 从 而 降低 成 本 ,还 有 一 个 额外 的 好 处 是 虚拟 化 支持 多 租户 ， 因 此 多 个 
机 构 实 体能 得 到 或 直接 控制 一 个 虚拟 接 入 结 点 的 专 


表 8-5 ETSI NFV 用 例 兴趣 度 
用 分 区 。 最 后 ， 将 宽带 接 入 结 点 虚拟 化 还 能 使 得 位 


用 例 投票 者 比例 
于 相同 区 域 的 无 线 接 入 结 点 在 通用 NFV 平台 框架 网 络 功能 虚拟 化 设施 即 服务 51% 
(也 即 NFVI-PoPs) 下 协同 工作 ， 从 而 降低 部 署 成 “虚拟 网 络 功能 即 服务 37% 
本 和 总 体能 耗 。 移动 核心 网 和 IMS 的 虚拟 化 32% 
不 同 用 例 的 相对 重要 性 说 明 可 以 参见 一 份 由 工 ”虚拟 网 络 平台 即 服务 22% 
业界 各 个 领域 176 名 网 络 专家 参与 的 调查 问卷 ， 在 ”_ 固定 接 入 网 功能 虚拟 化 13% 
文献 《2015 Æ SDN 和 NFV 指南 》[METZ14] 中 有 _CDN 虚拟 化 12% 
相关 介绍 。 问 卷 的 受 访 者 被 问 到 有 哪 两 项 用 例会 在 SE = 
未 来 两 年 的 市 场 中 得 到 最 大 的 推广 ， 表 8-5 展示 了 ee 


问卷 结果 。 表 8-5 中 的 数据 表明 尽管 IT 机 构 对 许 
多 ETSI 定义 的 用 例 较为 感 兴趣 ， 但 是 对 NFVIaaS 用 例 的 兴趣 度 最 高 。 


8.5 SDN 与 NFV 


在 过 去 的 几 年 里 ，SDN A NFV 是 网 络 领域 最 热门 的 话题 ， 各 种 标准 都 集中 在 这 两 种 技 
术 上 ,而 且 大 量 厂 商都 宣称 要 参加 或 已 经 参与 这 两 个 领域 的 产品 研发 。 这 两 种 技术 在 实现 和 
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部 署 上 都 是 相互 独立 的 ， 但 是 现 有 研究 表明 这 两 者 之 间 存 在 较 大 的 协作 空间 。SDN 和 NFV 
随 着 时 间 的 变化 会 越 来 越 紧密 地 协作 ， 并 提供 一 种 广泛 统一 的 、 基 于 软件 的 网 络 方法 来 对 网 
络 设 备 和 网 络 资源 进行 抽象 与 编程 控制 。 
SDN FI NFV 之 间 的 关系 可 以 看 作为 SDN 功能 是 NFV 的 推动 者 。NFV 的 一 大 难题 是 如 
何 更 好 地 让 用 户 配置 网 络 ， 从 而 使 得 运行 在 服务 器 上 的 VNF 能 连接 到 网 络 的 合适 位 置 ， 与 
其 他 VNF 之 间 保 持 合适 的 连通 性 ， 并 得 到 想 要 的 服务 质量 。 有 了 SDN， 用 户 和 编排 软件 就 
能 动态 配置 网 络 以 及 VNF 的 分 发 和 互联 。 如 果 没 有 SDN, NFV 就 不 得 不 采用 更 多 人 工 干 预 
的 方式 ， 特 别 是 当 超 出 NFVI 范畴 的 资源 也 是 整个 环境 一 部 分 的 时 候 。 
Kemp 的 技术 博客 [MCMU14] 中 给 出 了 一 个 负载 均衡 的 例子 ， 在 这 个 例子 中 ， 负 载 均 
衡 服务 实现 为 VNF 实体 。 如 果 对 负载 均衡 的 容量 要 求 提高 了 ， 网 络 编排 层 会 快速 加 载 新 的 
负载 均衡 实例 ， 并 调整 网 络 交 换 基 础 设施 以 适应 流量 模式 的 变化 。 然 后 ， 进 行 负载 均衡 的 
VNF 实体 可 以 与 SDN 控制 器 进行 交互 ， 以 评估 网 络 性 能 和 容量 ， 并 利用 这 些 信息 更 好 地 对 
流量 进行 均衡 ， 甚 至 请 求 额外 的 VNF 资源 。 
ETSI 认为 NFV 可 以 和 SDN 通过 下 列 方法 进行 互补 : 
© SDN 控制 器 与 NFVI 网 络 域 的 网 络 控制 器 概念 相 融 合 。 
e SDN 在 NFVI 物理 和 虚拟 资源 编排 中 发 挥 着 重要 作用 ， 并 实现 配给 、 网 络 连 接 配 置 、 
带宽 分 配 、 自 动 化 操作 、 监 管 、 安 全 保障 和 策略 控制 等 功能 。 
o SDN 提供 网 络 虚拟 化 ， 以 满足 NFVI 支持 多 租户 的 需求 。 
© 利用 SDN 控制 器 实现 转发 图 从 而 提供 自动 的 服务 链 配 给 ， 同 时 保证 较 强 的 和 满足 一 
致 性 的 安全 性 与 其 他 策略 。 
e SDN 控制 器 以 VNF 形式 运行 ， 并 作为 包含 其 他 VNF 的 服务 链 的 一 部 分 。 例 如 ， 最 
开始 在 SDN 控制 器 上 开发 的 应 用 和 服务 可 以 在 其 他 VNF 中 执行 。 
图 8-10 来 源 于 ETSI VNF 体系 结构 文档 ， 描 述 了 SDN AINFV 之 间 潜 在 的 关系 ， 图 中 
的 箭头 部 分 描述 如 下 : 
© 支持 SDN 的 交换 机 /NE 包括 物理 交换 机 、 管 理 程序 虚拟 交换 机 和 网 卡 上 的 租 入 式 交 
换 机 。 
o 利用 基础 设施 网 络 SDN 控制 器 创建 的 虚拟 网 络 提供 VNFC 实例 之 间 的 连接 服务 。 
e SDN 控制 器 也 可 以 虚拟 化 ， 并 以 包含 了 自己 EM 和 VNF 管理 器 的 VNF 的 方式 运行 。 
这 里 的 SDN 控制 器 可 用 于 物理 基础 设施 、 虚 拟 基础 设施 以 及 虚拟 和 物理 网 络 功能 。 
此 外 ， 其 中 的 某 些 SDN 控制 器 可 位 于 NFVI 或 管理 与 编排 (MANO) 功能 模块 中 (在 
图 8-10 未 标识 出 来 )。 
支持 SDN 的 VNF 包括 所 有 可 以 由 SDN 控制 器 控制 的 VNF (例如 虚拟 路 由 器 、 虚 拟 
防火 墙 等 )。 
SDN 应 用 也 可 以 是 VNF， 例 如 服务 链 应 用 。 
Nf-Vi 接口 允许 管理 支持 SDN 的 基础 设施 。 
Ve-Vnfm 接口 用 于 SDN VNF (SDN 控制 器 VNF，SDN 网 络 功能 VNF，SDN 应 用 
VNF) 和 它们 各 自生 命 周期 管理 器 之 间 。 
Vn-Nf 允许 SDN VNF 访问 VNFC 接口 之 间 的 连接 服务 。 
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访问 连接 利用 SDN 支持 SDN 的 用 于 管理 支持 SDN 
服务 的 接口 创建 的 虚拟 网 络 。 交换 机 /NE”” 基 础 设施 的 开放 接口 


图 8-10 A SDN 组 件 的 NFV 体系 结构 图 





8.6 重要 术语 
学 完 本 章 后 ， 你 应 当 能 够 定义 下 列 术语 。 
计算 域 NFV 基础 设施 (NFV1) 
计算 结 点 NFV 编排 器 
容器 NFVI 域 
容器 接口 运 维 支持 系统 
内 容 分 发 网 络 (CDN ) 参照 点 
深度 包 检 测 扩展 功能 
单元 管理 扩大 规模 
单元 管理 系统 (EMS) 服务 链 
转发 图 (FG) 存储 结 点 
功能 模块 接口 虚拟 网 络 
网 关 结 点 虚拟 覆盖 网 
管理 程序 虚拟 分 区 
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管理 程序 域 虚拟 基础 设施 管理 右 

基础 设施 网 络 域 (IND) 虚拟 化 

三 层 虚 拟 网 络 虚拟 化 容器 

分 层 虚 拟 网 络 虚拟 网 络 功能 (VNF) 

网 卡 VNF ae 

网 络 结 点 vswitch oat 

NFV 管理 与 编排 (MANO) 228 
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网 络 虚 拟 化 





近 些 年 ， 计 算 机 与 通信 系统 联系 越 来 越 密 切 ， 一 方面 计算 机 对 通信 系统 的 改进 
产生 了 深远 的 影响 ， 另 一 方面 通信 系统 又 扩展 了 计算 机 的 使 用 范围 。 

一 一 什么 能 实现 自动 化 ? 

计算 机 科学 与 工程 研究 ， 国 家 自然 科学 基金 ，1980 年 


本 章 目标 

学 完 本 章 后 ， 你 应 当 能 够 : 

o 理解 虚拟 局 域 网 (VLAN) 的 概念 以 及 三 种 定义 VLAN 的 方法 。 

o 概要 描述 IEEE 802.1Q 标准 。 

o 解释 OpenFlow 如 何 支持 VLAN. 

e 理解 虚拟 专用 网 的 概念 。 

o 了 解 网 络 虚 拟 化 的 定义 。 

e 理解 OpenDaylight 的 虚拟 租用 网 的 运 维 。 

e 总 结 软件 定义 基础 设施 的 概念 。 

e 探讨 软件 定义 存储 。 

定义 虚拟 网 络 的 相关 机 制 已 经 使 用 了 许多 年 ， 虚 拟 网 络 的 好 处 在 于 : 

© 它 允 许 用 户 构建 和 管理 网 络 ， 这 些 网 络 可 独立 于 底层 物理 网 络 ， 并 且 相 同 物 理 网 络 

之 上 的 虚拟 网 络 是 相互 隔离 的 。 

o 它 让 网 络 提供 商 能 高 效 地 使 用 网 络 资源 ， 并 满足 各 种 用 户 需 求 。 

本 章 从 两 种 已 经 广泛 使 用 的 虚拟 网 络 技术 ， 虚 拟 局 域 网 (VLAN) 和 虚拟 专用 网 ( VPN) 
的 介绍 开始 ， 然 后 讨论 更 一 般 化 和 更 广泛 的 网 络 虚 拟 化 概念 。 在 学 习 一 些 简单 的 例子 之 后 ， 
你 将 了 解 到 网 络 虚拟 化 的 体系 结构 以 及 这 种 方法 所 带 来 的 好 处 。 本 章 还 会 介绍 OpenDaylight 
的 虚拟 租用 网 ， 虽然 它 采用 VLAN 技术 实现 ,但 是 展现 出 了 许多 网 络 虚拟 化 的 特征 。 最 后 ， 
本 章 将 介绍 软件 定义 基础 设施 的 相关 知识 ， 包 括 软 件 定义 网 络 (SDN)、 网 络 功 能 虚拟 化 
(NFV) 以 及 网 络 虚拟 化 等 方面 的 诸多 概念 。 


9.1 虚拟 局 域 网 


图 9-1 显示 了 一 个 比较 常见 的 层次 化 局 域 网 场景 ， 在 这 个 例子 中 ， 局 域 网 中 的 设备 分 为 
四 个 部 分 ， 每 个 部 分 都 通过 以 太 网 交换 机 相连 。 以 太 网 交换 机 (LAN switch) 是 采用 存储 转 
发 方式 来 实现 分 组 转发 的 设备 ， 它 可 用 于 端 系统 的 互 连 ， 从 而 构成 一 个 局 域 网 网 段 。 交 换 机 
可 以 将 一 个 媒体 访问 控制 (media access control, MAC) 帧 从 源 设备 转发 到 目的 设备 ， 也 可 以 
将 帧 从 源 设备 广播 到 所 有 其 他 设备 上 。 多 个 交换 机 互 连 可 以 将 几 个 局 域 网 网 段 构 成 一 个 更 大 
的 局 域 网 。 局 域 网 交换 机 还 可 以 与 传输 链 路 、 路 由 器 或 者 其 他 网 络 设备 相连 从 而 提供 到 因 特 


网 或 其 他 广域网 的 连接 。 
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以 太 网 交换 机 一 种 转发 分 组 的 网 络 设备 ， 用 于 (1) 互 连 一 个 区 域内 的 端 系统 ， 并 
形成 局 域 网 网 段 ; (2) 连接 其 他 局 域 网 交换 机 ， 从 而 形成 一 个 更 大 的 局 域 网 ; (3) 提供 与 
路 由 器 以 及 其 他 网 络 设备 的 连接 ， 从 而 与 广域网 相连 。 


MAC tl 包括 源 和 目的 地 址 、 协 议 控 制 信息 和 可 选 数据 项 等 内 容 的 比特 集合 ， 它 是 
以 太 网 和 Wi-Fi 无 线 局 域 网 数据 传输 的 基本 单元 。 


传统 的 交换 机 只 工作 在 MAC 层 ， 现 在 的 交换 机 则 可 以 提供 更 多 的 功能 ， 例 如 多 层 感知 
(三 层 、 四 层 和 应 用 层 )、 支 持 QoS 和 作为 广域网 主干 等 。 


在 图 9-1 中 ， 有 三 个 逻辑 上 位 于 底 
层 的 组 分 别 对 应 于 不 同 的 部 门 ， 这 些 部 
门 在 物理 上 是 相互 隔离 的 ， 而 一 个 逻辑 
上 位 于 高 层 的 组 对 应 于 集中 式 的 服务 器 
区 域 ， 它 供 所 有 部 门 共 用 。 

下 面 我 们 考虑 一 个 来 自 工作 站 义 
的 MAC 帧 的 传输 过 程 ， 假 设 该 帧 的 目 
的 MAC 地 址 是 工作 站 Y， 那么 这 个 帧 
就 会 从 义 传 输 到 本 地 交换 机 ， 然 后 沿 着 
链 路 前 往 Y。 如 果 X 所 发 送 的 帧 的 目的 
地 址 为 Z 或 W， 那么 本 地 交换 机 就 会 将 
MAC 帧 转发 给 相应 的 交换 机 ， 从 而 到 达 
所 期 望 的 目的 地 。 所 有 这 些 过 程 都 是 单 
播 寻 址 的 例子 ， 也 就 是 说 MAC 帧 中 的 目 
的 地 址 是 唯一 的 。MAC 帧 也 可 以 用 广播 
地 址 ， 这 样 的 话 所 有 局 域 网 中 的 设备 都 
会 收 到 该 帧 的 一 个 副本 ， 因 此 如 果 X 发 
送 了 一 个 目的 地 址 是 广播 地 址 的 帧 ， 那 
么 图 9-1 中 所 有 设备 都 会 收 到 帧 的 一 个 
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图 9-1 一 个 局 域 网 场景 


副本 。 所 有 能 互相 收 到 广播 帧 的 设备 集合 也 就 是 广播 域 。 

在 许多 情况 下 ， 广 播 帧 有 特殊 的 用 途 ， 比 如 网 络 管理 或 某 些 告警 信息 的 传输 等 ， 这 些 信 
息 只 在 本 地 网 络 中 有 意义 。 因 此 在 图 9-1 中 ， 如 果 一 个 广播 帧 的 信息 只 对 特定 群体 有 用 ， 那 
么 局 域 网 其 他 部 分 或 其 他 交换 机 的 传输 资源 就 会 被 浪费 。 

一 种 提高 效率 的 简单 方法 就 是 在 物理 上 将 局 域 网 划分 为 多 个 相互 隔离 的 广播 域 ， 如 图 9-2 
所 示 。 在 图 中 ， 四 个 相互 隔离 的 局 域 网 通过 路 由 器 相连 ， 在 这 种 情况 下 ， 从 广发 出 的 广播 
帧 只 会 转发 给 与 X 连接 在 相同 交换 机 上 的 设备 。 一 个 由 XX 发 给 Z 的 IP 分 组 的 处 理 过 程 如 
F: 义 首 先 会 确定 该 IP 分 组 的 下 一 跳 是 路 由 器 V， 该 信息 会 向 下 传递 到 XX 的 MAC 层 ， 该 
层 会 根据 IP 分 组 内 容 生 成 一 个 MAC 帧 ， 且 该 帧 的 目的 MAC 地 址 为 路 由 器 V; 当 V 接收 到 
该 帧 ， 它 会 去 掉 MAC 首部 ， 确 定 目的 地 址 ， 然 后 将 该 卫 分 组 封装 为 一 个 新 的 MAC Wi, H. 
该 帧 的 目的 MAC 地 址 为 Z; 该 帧 随后 被 转发 给 相应 的 以 太 网 交换 机 进行 下 一 步 传递 。 
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这 种 方法 的 缺点 是 流量 模式 与 设备 的 物理 分 布 不 对 应 。 举 个 例子 ， 某 些 工作 站 可 能 会 
产生 大 量 流量 ， 而 这 些 流量 集中 到 一 个 

中 央 服 务 器 上 ， 然 后 随 着 网 络 规模 的 扩 

大 ， 更 多 的 路 由 器 需要 加 入 到 网 络 中 以 

将 用 户 分 隔 到 不 同 的 广播 域 ， 同 时 还 要 ore 
保证 广播 域 之 间 的 互 连 。 这 样 ， 路 由 器 

会 产生 比 交 换 机 更 大 的 时 延 ， 因 为 路 由 

器 要 处 理 更 多 的 分 组 首部 才能 确定 目的 a VANS 
地 ， 将 数据 路 由 到 最 终 的 端 结 点 上 。 


9.1.1 虚拟 局 域 网 的 使 用 = 


一 种 更 为 有 效 的 方法 是 创建 虚拟  w a 
局 域 网 。 实 际 上 ， 虚 拟 局 域 网 (virtual 

local-area network, VLAN) 是 局 域 网 

的 一 个 逻辑 子 集 ， 它 是 通过 软件 创建 

的 ， 而 不 是 在 物理 上 移动 和 隔离 设备 来 

实现 。VLAN 将 用 户 和 网 络 设备 组 合成 

一 个 单独 的 广播 域 ， 而 不 用 考虑 它们 所 

在 的 局 域 网 网 段 ， 它 还 允许 流量 在 两 个 

广播 域 之 间 更 为 高 效 地 传输 。VLAN 逻 图 9-2 一 个 隔离 后 的 局 域 网 

辑 上 是 建立 在 交换 机 之 上 ， 而 功能 则 是 

在 MAC 层 实现 。 由 于 路 由 器 的 目标 是 隔离 VLAN 内 部 的 流量 ， 路 由 器 需要 建立 VLAN 到 
VLAN 之 间 的 链 路 。 路 由 器 可 以 作为 独立 的 设备 来 工作 ， 这 时 VLAN 与 VLAN 之 间 的 流量 
都 要 经 过 路 由 器 ， 此 外 ， 路 由 器 还 可 以 集成 在 交换 机 中 作为 交换 机 的 一 部 分 来 实现 ， 正 如 
图 9-3 所 示 。 


虚拟 局 域 网 (VLAN) 虚拟 网 络 是 在 物理 分 组 交换 网 之 上 的 抽象 。 一 个 VLAN 本 质 
上 是 一 个 特定 交换 机 集合 的 广播 域 ， 这 些 交换 机 需要 能 感知 到 VLAN 的 存在 ， 并 进行 相 
应 配置 来 实现 位 于 相同 VLAN 内 设备 之 间 的 分 组 交换 。 


VLAN 技术 可 以 让 部 门 分 散在 公司 各 个 地 方 ， 同 时 还 保持 部 门 的 标识 ， 例 如， 财务 部 门 
可 以 同时 分 布 在 车 间 、 研 发 中 心 、 现 金 支 付 办 公 室 和 公司 办 公 室 ， 而 在 逻辑 上 它们 位 于 相同 
的 虚拟 网 络 内 ， 彼 此 间 共 享 流量 。 

图 9-3 定义 有 5 个 VLAN， 从 工作 站 和 到 服务 器 Z 的 传输 是 在 同一 个 VLAN 内 部 进行 
的 ， 因 此 它 在 MAC 层 完成 了 交换 ， 效 率 非 常 高 ， 而 X 发 送 的 广播 MAC 帧 会 被 转发 到 所 有 
位 于 相同 VLAN 内 的 设备 上 。 从 X 到 打印 机 YY 的 传输 则 跨越 了 不 同 的 VLAN， 因 此 ,IP 层 
的 路 由 器 就 需要 将 IP 分 组 从 XX 转发 到 Y。 图 9-3 显示 了 集成 在 交换 机 内 的 路 由 人 逻辑， 交换 
机 需要 确定 到 达 的 MAC 是 否 要 发 送 给 相同 VLAN 内 的 设备 ， 如 果 不 是 就 需要 在 IP 层 对 这 
个 全 分 组 进行 路 由 。 
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图 9-3 一 个 VLAN 场景 


9.1.2 VLAN 的 定义 


VLAN 是 包含 一 组 端 结 点 的 广播 域 ， 它 可 以 不 受 物 理 位 置 的 限制 而 涵盖 位 于 多 个 物理 位 
置 的 局 域 网 网 段 ，VLAN 内 设备 之 间 的 通信 就 像 是 在 同一 个 局 域 网 内 完成 ， 所 以 有 时 需要 定 
X VLAN 成 员 的 划分 。 当 前 有 许多 种 方法 来 划分 VLAN， 具 体 包 括 以 下 方面 。 

e 基于 端口 组 的 划分 : 在 局 域 网 中 的 每 个 交换 机 都 包含 两 类 端口 ， 分 别 是 用 于 连接 两 
个 交换 机 的 中 继 端 口 和 连接 交换 机 与 端 系统 的 终端 口 。 在 划分 VLAN 时 ， 可 以 将 每 
个 终端 口 指派 给 特定 的 VLAN， 这 种 方法 的 特点 是 配置 非常 简单 ， 但 缺点 是 当 端 系 
统 从 一 个 端口 移动 到 另外 一 个 端口 的 时 候 ， 网 管 人 员 不 得 不 重新 配置 VLAN 的 成 员 。 
基于 MAC 地 址 的 划分 : 由 于 MAC 层 的 地 址 是 硬件 化 的 ， 它 烧 录 在 工作 站 的 网 卡 上 ， 
因此 基于 MAC 地 址 的 VLAN 划分 方式 能 够 让 网 管 人 员 在 工作 站 移动 时 也 不 需要 修 
改 VLAN 的 划分 ， 它 会 自动 保持 它 的 VLAN 成 员 信 息 。 但 是 这 种 方法 的 主要 问题 
是 每 个 VLAN 成 员 在 初始 阶段 都 需要 手动 指派 ， 当 网 络 中 有 几 千 个 用 户 时 ， 这 项 工 
作 就 不 轻松 了 。 此 外 ， 如 果 网 络 环境 中 有 笔记 本 电脑 ，MAC 地 址 是 与 笔记 本 电脑 的 
坞 站 相关 联 ， 而 不 是 与 笔记 本 电脑 相关 联 ， 因 此 如 果 笔 记 本 电脑 移动 到 另 一 个 坞 站 ， 
就 需要 重新 对 VLAN 的 成 员 进行 配置 。 





158 BARD Æ wm 化 


e 基于 协议 信息 的 划分 : VLAN 的 划分 还 可 以 基于 IP 地 址 、 运 输 层 协议 信息 ， 甚 至 更 
高 层 的 协议 信息 。 这 是 一 种 非常 灵活 的 方法 ， 但 是 它 要 求 交换 机 能 够 检查 MAC 层 之 
上 的 MAC 帧 部 分 ， 这 会 对 性 能 产生 一 定 的 影响 。 


9.1.3 VLAN 内 部 成 员 间 的 通信 


当 网 络 流量 穿越 了 多 个 交换 机 时 ， 交 换 机 必须 能 够 掌握 VLAN 的 成 员 信 息 (也 即 哪 个 
工作 站 属于 哪个 VLAN)， 否 则 VLAN 只 能 在 单 台 交换 机 内 部 通信 。 一 种 可 行 的 方法 是 手动 
或 使 用 一 些 网 络 管理 信 令 协议 来 配置 这 些 信 息 ， 这 样 交换 机 就 能 将 到 达 的 分 组 关联 到 正确 的 
VLAN。 

一 种 更 为 通用 的 方法 是 在 帧 上 添加 标签 ， 通 常 的 做 法 是 在 帧 的 首部 添加 唯一 的 标识 ， 以 
标明 MAC 帧 属于 哪 一 个 VLAN。IEEE 802 委员 会 已 经 发 布 了 给 帧 添加 标签 的 标准 ， 也 就 是 
我 们 下 面 要 介绍 的 IEEE 802.1Q. 


9.1.4 IEEE 802.1Q VLAN 标准 


IEEE 802.1Q 标准 最 近 一 次 更 新 是 在 2014 年 ， 它 规定 了 VLAN 网 桥 和 交换 机 的 操作 方 
法 ， 从 而 在 网 桥 / 交换 机 LAN 基础 设施 内 定义 、 运 维和 管理 VLAN 的 拓扑 。 在 本 节 ， 我 们 
主要 关注 本 标准 在 802.3 局 域 网 中 的 应 用 。 


IEEE 802 电子 电气 工程 师 协 会 (IEEE) 中 负责 制定 局 域 网 和 各 城 域 网 标准 的 机 构 。 


IEEE 802.1 IEEE 802 下 辖 的 一 个 工作 组 ， 专 门 负责 下 列 领 域 标准 的 制定 : 802 局 
域 网 / 城 域 网 体系 结构 ; 802 局 域 网 、 城 域 网 和 其 他 广域网 之 间 的 互 连 ; 802 安全 ; 802 
总 体 网 络 管理 。 


IEEE 802.3 IEEE 802 中 的 一 个 工作 组 ， 专 门 负责 制定 基于 以 太 网 技术 的 局 域 网 标准 。 


考虑 到 一 个 VLAN 实际 上 就 是 局 域 网 中 一 组 端 系统 子 集 构成 的 广播 域 ， 因 此 VLAN 不 
仅 限于 一 个 交换 机 中 ， 它 可 以 扩展 到 多 个 互 连 的 交换 机 。 在 这 种 情况 下 ， 跨 交换 机 的 流量 
必须 标记 出 其 所 属 的 VLAN， 而 802.1Q 标准 就 在 分 组 中 插入 了 一 个 VLAN 标识 (VLAN 
identifier, VID)， 这 个 标识 的 值 范 围 是 1 ~ 4094。 局 域 网 中 的 每 个 VLAN 都 会 被 指派 一 个 全 
局 唯一 的 VID ， 而 为 位 于 多 个 交换 机 上 的 端 系统 分 配 相 同 的 VID ， 这 样 就 可 以 让 VLAN 的 
广播 域 扩 展 到 大 型 的 网 络 中 。 
图 9-4 中 显示 了 802.1 标识 所 在 的 位 置 和 具体 的 内 容 ， 该 标识 也 可 以 看 作 是 标签 控制 信息 
( Tag Control Information, TCI) 。 长 度 为 两 个 字 节 的 TCI 字 段 是 通过 在 802.3 MAC 帧 中 插入 一 
个 值 为 0x8100 的 长 度 /类 型 字段 实现 的 。TCI 包括 了 三 个 子 字 段 ， 下 面 列 出 了 其 具体 含义 。 
e 用 户 优先 级 ( 3 个 比特 ): 表示 该 帧 的 优先 级 别 。 
e 周知 的 格式 指示 符 ( 1 个 比特 ): 在 以 太 网 交换 机 中 始终 为 0。CFI 用 于 保证 以 太 网 和 
令 牌 环 网 之 间 的 兼容 性 ， 如 果 某 个 以 太 网 端口 接收 的 帧 的 CFI 为 1， 则 该 帧 不 会 被 转 
发 ， 因 为 端口 不 是 带 标签 的 端口 。 
e VLAN 标识 符 (12 个 比特 ) : 用 于 标识 VLAN。 总 共有 4096 个 可 用 的 VID，VID 为 
0 时 ， 表 明 TCI 只 包含 优先 级 值 ， 而 4095 (0 x FFF) 是 保留 的 VID， 因 此 实际 上 最 
大 的 可 用 VLAN 号 为 4094。 
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图 9-4 


带 标签 的 IEEE 802.3 MAC 帧 格式 


图 9-5 是 一 个 局 域 网 场景 ， 里 面包 含 了 三 个 支持 802.1Q 标准 的 新 交换 机 以 及 一 个 不 
支持 802.1Q 标准 的 旧 交 换 机 。 在 这 种 情况 下 ， 旧 交换 机 所 连接 的 端 系统 必须 属于 相同 的 
VLAN。 跨 越 新 交换 机 之 间 的 MAC 帧 包含 802.1Q 标准 的 TCI 标签， 该 标签 会 在 帧 转发 到 


旧 交 换 机 之 前 被 去 掉 。 对 于 连 
接 到 同一 个 新 交换 机 的 端 系 统 
ma, MAC 帧 也 可 以 不 包含 
TCI 标签 ， 这 取决 于 具体 的 实 
现 方 式 。 这 里 的 关键 是 两 个 新 
交换 机 之 间 通 信 时 会 用 到 TCI 
标签 ， 从 而 进行 正确 的 路 由 选 
择 和 帧 处 理 。 


9.1.5 EH VLAN 


在 最 初 的 802.1Q 规范 中 ， 
以 太 网 的 MAC 帧 可 以 插入 一 
个 VLAN 的 标签 字段 ， 而 在 最 
近 的 版 本 中 ， 则 可 以 插入 两 个 
VLAN 标签 字段 ， 从 而 可 以 在 
VLAN 内 再 定义 多 个 子 VLAN, 
这 种 方式 带 来 的 灵活 性 在 一 些 
复杂 的 场景 中 会 非常 有 用 。 

flin, Æ VLAN 层 对 只 有 
一 个 层级 的 以 太 网 环境 来 说 是 
足够 的 ， 但 是 一 个 企业 利用 网 
络 服务 提供 商 来 互 连 多 个 局 域 
网 的 情况 也 是 很 常见 的 ， 这 时 





图 9-5 


同时 包含 支持 和 不 支持 802.1Q 标准 交换 机 的 局 域 网 场景 
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候 就 需要 通过 城 域 网 的 以 太 网 链 路 来 连接 到 网 络 服务 提供 商 ， 而 提供 商 的 多 个 客户 可 能 都 希 
望 利用 802.1Q 标签 功能 来 穿越 服务 提供 商 的 网 络 (service provider network, SPN). 
一 种 可 行 的 方法 是 让 客户 的 VLAN 对 服务 提供 商 可 见 ， 在 这 种 情况 下 ， 服 务 提供 商 只 
能 为 它 的 客户 提供 4094 个 VLAN。 这 时 ,服务 提供 商 可 以 在 以 太 网 帧 中 插入 第 二 个 VLAN 
标签 。 比 如 考虑 有 两 个 客户 ， 而 每 个 客户 都 有 多 个 站 点 的 情况 。 两 个 客户 都 使 用 了 相同 的 
SPN (如 图 9-6a 所 示 )， 客 户 A 已 经 为 自己 的 站 点 配置 了 1 ~ 100 的 VLAN 号 ， 而 客户 B 则 
为 自己 的 站 点 配置 了 1 一 50 的 VLAN 号 。 这 些 带 有 标签 的 数据 帧 在 穿越 服务 提供 商 网 络 时 ， 
必须 能 被 区 分 出 属于 哪个 客户 ， 而 这 些 必要 的 区 分 和 隔离 则 可 以 通过 将 客户 流量 关联 到 另 一 
个 VLAN 来 实现 。 这 就 使 得 原本 带 有 VLAN 标签 的 客户 数据 帧 在 穿越 SPN 时 (如 图 9-6b 所 
237) R) 又 加 上 了 一 层 新 的 标签 ， 新 加 的 标签 在 数据 到 达 SPN 的 边缘 被 删除 掉 ， 然 后 再 进入 客 
239| 户 的 网 络 。 这 种 包装 的 VLAN 标签 也 称 为 VLAN 堆栈 或 Q-in-Q。 


客户 A 客户 A 
VLAN 号 1~100 VLAN 号 1~100 


客户 1 = VLAN 32 
客户 2=VLAN 48 





客户 B 客户 B 
VLAN 号 1~50 VLAN 号 1~50 
a) 案例 场景 
初始 以 太 网 帧 





b) 以 太 网 帧 中 标签 的 位 置 
图 9-6 HERA VLAN 标签 使 用 案例 


9.2 OpenFlow 对 VLAN 的 支持 


传统 的 802.1Q VLAN 要 求 网 络 交换 机 能 够 掌握 VLAN 映射 的 全 部 信息 ， 这 些 信息 可 以 手 
工 配 置 也 可 以 自动 获取 。 另 一 个 缺点 与 VLAN 划分 方式 (基于 端口 组 、 基 于 MAC 地 址 、 基 于 
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协议 信息 ) 的 选择 有 关 ， 网 络 管理 员 必 须根 据 要 部 署 的 网 络 类 型 评估 三 种 方式 ， 并 从 中 选择 一 
种 可 行 的 方法 。 而 在 实际 部 署 中 ， 很 难 在 传统 网 络 设备 中 采用 一 种 更 为 灵活 的 甚至 是 定制 的 
VLAN 划分 方法 (例如 采用 IP 地 址 和 交换 机 端口 相 结合 的 方法 )。 此 外 ， 重 复 配 置 VLAN 也 是 
一 项 令 网 络 管理 员 感 到 环 手 的 工作 : 许多 交换 机 和 路 由 器 在 虚拟 机 迁移 后 需要 重新 配置 。 

SDN， 特 别 是 OpenFlow， 人 允许 对 VLAN 进行 更 为 灵活 的 管理 和 控制 ， 但 是 需要 清楚 
OpenFlow 是 怎样 根据 一 个 或 多 个 VLAN 标签 建立 转发 流 表 项 ， 以 及 标签 是 怎样 添加 、 修 改 
和 删除 的 。 
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在 现在 的 分 布 式 计算 环境 中 ， 虚 拟 专用 网 (virtual private network, VPN) 为 网 管 人 员 提 
供 了 一 种 很 有 吸引 力 的 方法 。VPN 是 一 种 专用 的 网 络 ， 它 能 配置 到 公用 网 络 中 (如 运营 商 网 
络 或 因特网 )， 从 而 利用 大 型 网 络 的 规模 和 管理 设施 来 节约 成 本 。VPN 已 经 在 企业 中 得 到 了 
广泛 运用 ， 从 而 创建 能 扩展 到 广阔 区 域 的 广域网 ， 为 分 支 结 构 提供 站 点 到 站 点 之 间 的 连接 ， 
并 允许 移动 用 户 通 过 拨号 方式 访问 公司 的 局 域 网 。 从 提供 商 的 角度 来 说 ， 公 用 网 络 设施 为 许 
多 客户 所 共享 ， 而 且 各 个 客户 之 间 的 流量 是 相互 隔离 的 ，VPN 流量 只 能 从 一 个 VPN 源 结 点 
到 归属 同一 个 VPN 的 目的 结 点 。VPN 通常 采用 了 加 密 和 认证 设施 。 

企业 采用 VPN 的 典型 场景 如 下 所 述 : 在 每 个 分 公司 ， 有 一 个 或 多 个 局 域 网 链 路 工作 站 、 
服务 器 和 数据 库 ， 局 域 网 受到 企业 的 控制 ， 而 且 性 价 比 高 ; 路 因特网 或 多 个 其 他 公用 网 络 的 
VPN 用 于 互 连 各 个 分 公司 ， 提 供 廉价 的 专用 网 络 ， 并 将 广域网 管理 工作 交 给 公用 网 络 提供 
商 ; 该 公用 网 络 还 为 远程 办 公 和 移动 办 公 人 员 提 供 可 访问 的 路 径 ， 以 从 远程 登录 公司 的 系统 。 

VPN 的 内 容 特别 复杂 ， 本 节 只 简要 介绍 两 种 最 常用 的 创建 VPN 的 技术 ,分 别 是 IP 安 
全 协议 (IPsec) 和 多 协议 标签 交换 -(Multiprotocol Label Switching, MPLS). 


IPsec 一 套用 于 在 网 络 层 保证 IP 通信 安全 的 协议 ， 具体 手段 包括 对 数据 流 的 每 个 分 
组 进行 认证 和 加 密 。 IPsec 还 包含 加 密 密 铀 管理 协议 。 


9.3.1 IPsec VPN 


将 因特网 或 运营 商 网 络 等 公用 网 络 作为 企业 网 一 部 分 的 体系 结构 将 会 暴露 企业 的 流量 给 
AWA, FAIRS PRA. WS RRL, ATLA AA IPsec 来 构建 VPN。IPsec 能 
支持 各 种 应 用 ， 并 且 在 IP 层 对 流量 进行 加 密 和 认证 ， 因 此 ， 所 有 的 分 布 式 应 用 ， 包 括 远程 
登录 、 客 户 机 / 服务器、 电子 邮件 、 文 件 传输 、 页 面 访 问 等 ， 都 可 以 得 到 安全 保障 。 

图 9-7a 显示 了 一 个 分 组 的 报 文 格 式 ， 其 中 的 IPsec 选项 是 隧道 模式 。 隧 道 模式 利用 了 组 
合 认证 /加 密 IPsec (也 称 为 封装 安全 性 载荷 ESP) 和 密 钥 交换 技术 。 对 于 VPN 来 说 ， 认 证 
和 加 密 都 是 必要 的 ， 因 为 〈(1 ) 要 保证 非法 用 户 无 法 穿 透 VPN ; (2) 要 保证 因特网 上 的 窃听 
者 无 法 理解 VPN 所 传输 的 消息 。 

图 9-7b 是 一 个 典型 的 IPsec 应 用 场景 ， 其 中 某 个 机 构 有 多 个 局 域 网 位 于 若干 分 散 的 区 
域 , 不 安全 的 IP 流量 在 各 个 局 域 网 内 部 传输 。 对 于 离开 某 个 站 点 并 且 穿 越 了 一 些 专用 或 公 
用 广域网 的 流量 ,会 启用 IPsec 协议 来 对 其 进行 保护 ， 这 些 协 议会 作用 在 网 络 设备 上 ， 例 如 
连接 局 域 网 和 外 部 网 络 的 路 由 器 或 防火 墙 。IPsec 网 络 设备 通常 会 对 所 有 进入 广域网 的 流量 


” 进行 加 密 ， 然 后 对 从 广域网 流 经 而 来 的 流量 进行 解密 和 认证 ， 这 些 工 作对 于 局 域 网 中 的 工 
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作 站 和 服务 器 来 说 是 透明 的 。 连 接 到 广域网 上 的 用 户 在 传输 数据 时 ， 其 安全 性 也 可 以 得 到 保 
证 , 但 这 些 用 户 的 工作 站 必须 支持 IPsec 协议 。 





图 例 说 明 : 
未 得 到 保护 ” 受到 IPsec 保 护 ”虚拟 隧道 ; 
的 人 P 流 量 的 了 流量 “受到 IPsec 保护 

b ) 案例 场景 





9-7 IPsec VPN 应 用 场景 


使 用 IPsec 来 构建 VPN 有 下 列 好 处 : 

o 当 IPsec 由 防火 墙 或 路 由 器 来 实现 时 ， 它 能 为 所 有 穿越 设备 的 流量 提供 很 高 的 安全 
性 。 也 不 会 对 公司 或 工作 组 内 部 流量 产生 与 安全 相关 的 处 理 开销 。 

e 在 防火 墙 中 实现 IPsec 可 以 防止 从 外 部 进入 的 流量 绕 过 监测 ， 只 要 让 防火 墙 成 为 唯一 
从 因特网 进入 机 构 的 入 口 即 可 。 

o IPsec 在 运输 层 (TCP, UDP) 之 下 ， 因 此 它 对 于 应 用 是 透明 的 。 如 果 在 防火 墙 或 路 
由 器 上 实现 IPsec， 不 需 对 用 户 或 服务 器 系统 的 软件 做 任何 改变 。 即 使 IPsec 在 端 系 
统 中 实现 ， 高 层 软 件 (包括 应 用 程序 ) 也 不 会 受到 影响 。 

e IPsec 对 于 端 用 户 是 透明 的 ， 因 此 也 不 需要 对 用 户 进行 安全 机 制 的 培训 、 为 每 位 用 户 
分 配 密 钥 或 在 用 户 离开 机 构 时 废除 他 的 密 钥 。 

e IPsec 可 以 在 必要 的 时 候 为 单个 用 户 提 供 安 全 性 ， 这 对 远程 办 公 的 员工 非常 有 用 ,也 
可 以 用 来 在 机 构 内 部 为 敏感 应 用 创建 一 个 安全 的 虚拟 子 网 环境 。 
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9.3.2 MPLS VPN 


另 一 种 构建 VPN 的 常用 方法 是 使 用 MPLS。 本 节 会 首先 简要 介绍 MPLS， 然 后 介绍 两 
种 利用 MPLS 实现 VPN 的 通用 方法 ,它们 分 别 是 二 层 VPN(L2VPN) 和 三 层 VPN(L3VPN)。 

MPLS 概述 

多 协议 标签 交换 ( Multiprotocol Label Switching, MPLS) 是 一 组 因特网 工程 工作 组 
(IETF) 规范 ， 包 括 分 组 的 路 由 选择 和 流量 工程 方面 的 内 容 。MPLS 由 许多 相互 关联 的 协议 
组 成 ， 它 们 可 以 看 作 是 MPLS 协议 艇 。MPLS 可 用 于 IP 网 络 ， 也 可 以 用 于 其 他 类 型 的 分 组 
交换 网 络 。MPLS 可 以 保证 属于 某 条 特定 流 的 所 有 分 组 在 经 过 骨干 网 时 都 采用 相同 的 路 由 。 
很 多 电信 公司 和 服务 提供 商 已 经 部 署 了 MPLS， 它 能 支持 实时 音 视频 应 用 的 QoS 需求 ， 并 
满足 服务 等 级 约定 (service level agreement, SLA) 中 所 要 求 的 带宽 保证 。 

MPLS 本 质 上 是 一 种 高 效 的 分 组 转发 和 路 由 技术 ， 它 是 为 IP 网 而 设计 的 ,但 是 这 个 技 
术 可 以 不 用 IP 而 采用 任意 链 路 层 协 议 构建 网 络 。 在 一 般 的 分 组 交换 网 中 ,分 组 交换 需要 检 
查分 组 首部 的 若干 字段 来 确定 目的 地 、 路 由 、QoS 和 实施 流量 管理 (例如 丢弃 或 延迟 )。 类 
似 地 ， 在 基于 IP 的 网 络 中 ， 路 由 器 要 检查 IP 首部 的 某 些 字段 来 完成 上 述 工作 ， 而 在 MPLS 
网 络 中 ， 一 个 固定 长 度 的 标签 将 IP 分 组 或 数据 链 路 帧 封装 起 来 ,该 MPLS 标签 包含 支持 
MPLS 的 路 由 器 在 执行 路 由 、 传 递 、QoS 和 流量 管理 时 需要 的 所 有 信息 。 与 IP 所 不 同 的 是 ， 
MPLS 是 面向 连接 的 。 

MPLS 网 络 或 因特网 都 由 一 组 结 点 构成 ， 这 些 结 点 称 为 标签 交换 路 由 器 (label-switching 
router, LSR)， 它 们 能 根据 附加 在 每 个 分 组 上 的 标签 来 进行 分 组 交换 和 路 由 。 标 签 定义 了 一 个 
源 端 和 一 组 目的 端 之 间 的 分 组 流 ， 每 条 流 都 被 称 为 转发 等 价 类 (forwarding equivalence class, 
FEC)， 在 LSR 中 ， 会 为 其 分 配 一 条 特定 的 路 径 ， 该 路 径 称 为 标签 交换 路 径 (label-switched 
path, LSP)。 一 个 FEC 本 质 上 代表 一 组 有 相同 传输 需求 的 分 组 ， 这 些 分 组 在 路 由 器 处 会 得 
到 相同 的 对 待 ， 而 且 所 有 分 组 的 路 径 完全 相同 ， 在 路 径 上 的 每 跳 也 会 得 到 相同 的 QoS 保证 。 
相 比 于 传统 IP 网 络 中 的 分 组 转发 ， 某 个 特定 分 组 只 需要 在 分 组 进入 MPLS 路 由 器 网 络 的 时 
候 指 派 一 次 给 某 个 特定 的 FEC 即 可 。 

下 面 列 出 了 RFC 4026 (Provider Provisioned Virtual Private Network Terminology) 定义 
的 主要 VPN 术语 : 

o 接 入 链 路 (attachment circuit, AC): 在 二 层 VPN 中 ，CE 通过 AC 连接 到 PE 上 ， 这 

里 的 AC 可 以 是 物理 链 路 ， 也 可 以 是 逻辑 链 路 。 

e 用 户 边缘 (customer edge, CE): 在 客户 端的 某 个 设备 或 设备 集合 ， 这 些 设 备 连接 到 

提供 商 提 供 的 VPN Eo 

e 二 层 VPN (Layer 2 VPN, L2VPN): 一 个 基于 二 层 地 址 实现 的 VPN， 它 将 一 组 主机 和 
路 由 器 互 连 起 来 。 
=Æ VPN (Layer 3 VPN, L3VPN): 一 个 基于 三 层 地 址 实现 的 VPN， 它 将 一 组 主机 和 
路 由 器 互 连 起 来 。 

分 组 交换 网 (packet-switched network, PSN): 通过 建立 隧道 而 支持 VPN 服务 的 网 络 。 
提供 商 边 缘 (provider edge, PE): 在 提供 商 网 络 边缘 ， 带 有 与 客户 连接 功能 的 一 台 或 
一 组 设备 。 

e 隧道 : 分 组 交换 网 中 ， 用 于 将 流量 从 一 个 PE 发 送 到 另 一 个 PE 的 连接 。 隧 道 提供 了 
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一 种 PE 到 PE 的 分 组 传输 方法 ,不 同 客户 之 间 流 量 的 隔离 通常 采用 隧道 多 路 复 用 器 
实现 。 
隧道 多 路 复 用 器 : 用 于 分 组 实现 隧道 穿越 的 实体 ， 它 能 确定 一 个 分 组 属于 哪个 服务 
实例 ， 也 能 知道 接收 到 的 分 组 由 哪个 发 送 方 发 送 。 在 MPLS 网 络 中 ， 隧 道 多 路 复 用 
器 在 设计 上 类 似 于 MPLS 标签 。 
e 虚拟 信道 (virtual channel, VC); VC 在 隧道 内 传输 ， 并 且 通 过 它 的 隧道 多 路 复 用 器 进 
行 识 别 。 在 支持 MPLS 的 IP 网 络 中 ,一 个 VC 标签 是 一 个 用 于 识别 隧道 内 流量 属于 
哪个 VPN 的 MPLS 标签 ， 也 就 是 说 ，VC 标签 是 使 用 MPLS 标签 网 络 中 的 隧道 多 路 
复 用 器 。 
e 虚拟 专用 网 virtual private network, VPN): 它 是 涵盖 使 用 公用 或 专用 网 络 来 创建 与 
其 他 网 络 用 户 相隔 离 的 用 户 组 的 术语 ， 该 用 户 组 内 的 用 户 在 相互 通信 时 就 好 像 在 一 
个 专用 网 一 样 。 
二 层 MPLS VPN 
在 使 用 二 层 MPLS VPN 后 ， 客 户 网 络 和 运营 商 网 络 之 间 是 相互 透明 的 。 实 际 上 ， 客 户 
需要 众多 构成 了 网 状 结构 的 单 播 LSP (标签 交换 路 径 )， 这 些 LSP 由 连接 到 提供 商 网 络 的 客 
户 交 换 机 组 成 ， 每 个 LSP 可 以 认为 是 客户 之 间 的 二 层 电 路 。 在 二 层 VPN 中 ， 提 供 商 的 设备 
根据 二 层 首部 的 信息 〈 例 如 以 太 网 MAC 地 址 ) 来 转发 客户 的 数据 。 
图 9-8 描述 了 二 层 VPN 中 的 关键 要 素 。 客 户 通 过 诸如 以 太 网 交换 机 等 二 层 设备 连接 到 
提供 商 ， 连 接 到 MPLS 网 络 的 客户 设备 通常 被 认为 是 用 户 边 缘 (CE) 设备 ， 而 MPLS 边缘 路 
由 器 则 被 认为 是 提供 商 边 缘 (PE) 设备。CE 和 PE 之 间 的 链 路 工作 在 链 路 层 (例如 以 太 网 )， 
这 些 链 路 被 称 为 接 入 链 路 ( AC)。MPLS 网 络 然后 建立 一 条 LSP， 这 里 的 LSP 扮演 着 隧道 的 
角色 ， 它 将 两 个 属于 同一 公司 但 接 入 到 不 同 网 络 的 边缘 路 由 器 连通 起 来 ， 这 条 隧道 利用 标签 
栈 可 以 承载 多 条 虚拟 信道 。 与 VLAN 栈 的 方法 非常 相似 ，MPLS 标签 也 支持 VC KE. 





标签 交换 CE = 用户 边 缘 
路 由 器 ( LSR) PE = 提供 商 边 缘 
VC = 虚拟 信道 
各 局 域 网 交换 机 VPN = 虚拟 专用 网 


图 9-8 MPLS ZE VPN 概念 


当 一 个 链 路 层 帧 从 CE 到 达 PE Ja, PE 会 创建 一 个 MPLS 分 组 ， 并 将 一 个 与 VC 对 应 的 
标签 添加 到 这 个 帧 上 ， 然 后 再 将 另 一 个 与 源 和 目的 PE 之 间 隧 道 相 对 应 的 标签 添加 到 标签 栈 
上 。 接 着 ， 这 个 分 组 会 利用 高 层 的 标签 进行 标签 交换 路 由 ， 并 穿 过 与 隧道 相关 联 的 LSP。 在 
目的 端 ， 目 的 PE 会 去 掉 隧 道 标签 ， 然 后 检查 VC 标签 。 这 个 标签 会 让 PE 知道 如 何 创建 一 
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个 链 路 层 帧 ， 从 而 将 负载 传递 给 目的 CE. 

如 果 MPLS 分 组 的 负载 是 以 太 网 帧 ,那么 目的 PE 需要 从 VC 标签 推断 输出 端口 ， 以 及 
可 能 存在 的 VLAN 标识 符 。 这 个 过 程 是 单 向 的 ， 在 进行 双向 操作 时 需要 再 重复 一 遍 。 

隧道 中 的 VC 可 以 都 属于 一 个 公司 ， 也 可 以 利用 单个 隧道 管理 来 自 多 个 公司 的 VC。 在 
任何 情况 下 ， 从 客户 的 角度 来 看 ，VC 是 专用 的 链 路 层 点 对 点 信道 。 如 果 PE 和 CE 之 间 有 多 
VC, 那么 在 逻辑 上 客户 和 提供 商 之 间 进 行 了 多 个 链 路 层 信道 的 复 用 。 

=Æ MPLS VPN 

二 层 VPN 基于 链 路 层 地 址 〈 例 如 MAC 地 址 ) 进行 构建 ， 而 三 层 VPN 则 基于 CE 之 间 
的 VPN 路 由 ， 这 里 的 CE 是 基于 IP 地址 的 。 如 同 二 层 VPN 一 样 ， 基 于 MPLS 的 三 层 VPN 
通常 采用 了 双 标 签 栈 ， 内 部 标签 标识 特定 的 VPN 实例 ， 而 外 部 标签 则 标识 穿越 MPLS 提供 
商 网 络 的 隧道 或 路 由 器 。 隧 道 的 标签 与 LSP 相关 联 ， 主 要 用 于 标签 交换 和 转发 。 在 出 口 PE 
端 ， 隧道 标签 会 被 去 掉 ， 而 VPN 标签 则 用 于 协助 分 组 到 达 正 确 的 CE 处 ， 并 将 其 归并 到 正 
确 的 逻辑 流 。 

对 于 三 层 VPN，CE 完成 了 IP 功能 ， 因 此 它 也 是 一 个 路 由 器 。CE 路 由 器 会 将 它们 的 
网 络 通 告 给 提供 商 ， 提 供 商 网 络 然后 利用 改进 的 边界 网 关 协 议 ( Border Gateway Protocol, 
BGP) 在 CE 之 间 建 立 VPN。 提 供 商 网 络 内 部 会 利用 MPLS 在 支持 VPN 的 边缘 PE 之 间 建 
立 路 由 ， 这 样 ， 提 供 商 的 路 由 器 也 就 参与 到 客户 的 三 层 路 由 功能 中 。 


9.4 网 络 虚拟 化 


本 节 主 要 介绍 网 络 虚 拟 化 中 的 重要 领域 知识 。 一 个 迫切 的 难题 是 许多 专业 术语 在 学 术 界 
和 产业 界 的 定义 并 不 统一 ， 因 此 我 们 首先 根据 ITU-T 的 Y.3011 标准 (未 来 网 络 的 网 络 虚 拟 
化 框架 ，2012 年 1 月 ) 对 术语 进行 定义 。 
e 物理 资源 : 在 网 络 环境 中 ， 物 理 资源 包括 网 络 设备 (如 路 由 器 、 交 换 机 和 防火 墙 ) 和 
通信 和 链 路 (包括 有 线 和 无 线 的 )， 诸 如 云 服务 器 等 主机 也 被 看 作 是 物理 网 络 资源 。 
。 逻辑 资源 : 一 个 可 独立 管理 的 物理 资源 分 区 ， 它 继承 了 物理 资源 的 相同 特征 ， 而 且 
它 的 性 能 受 限于 物理 资源 的 性 能 ， 一 个 例子 就 是 硬盘 存储 器 的 切片 。 
。 虚拟 资源 : 对 物理 或 逻辑 资源 的 抽象 ， 它 与 物理 或 逻辑 资源 有 不 同 的 特征 ， 而 且 它 
的 能 力 不 受 制 于 物理 或 逻辑 资源 的 能 力 。 例 如 ， 虚 拟 机 可 以 动态 迁移 ，VPN 拓扑 可 
以 动态 改变 ， 访 问 控制 限制 可 以 添加 到 资源 上 。 
e 虚拟 网 络 : 由 许多 虚拟 资源 (也 即 虚 拟 结 点 和 虚拟 链 路 等 ) 构成 的 网 络 ， 它 在 逻辑 
上 与 其 他 虚拟 网 络 相 隔离 。Y.3011 标准 将 虚拟 网 络 定义 为 逻辑 上 相隔 离 的 网 络 切 片 
(LINP)。 
e 网 络 虚拟 化 (NV): 一 种 可 以 在 共享 物理 网 络 中 创建 逻辑 上 相互 隔离 的 虚拟 网 络 的 技 
术 ,， 它 可 以 让 众多 异 构 的 虚拟 网 络 在 共享 物理 网 络 上 共存 。 它 包括 提供 商 网 络 中 多 
种 资源 的 集合 ， 但 这 些 资 源 在 形式 上 就 像 是 一 个 单独 的 资源 。 
网 络 虚 拟 化 是 一 个 远 比 VPN 和 VLAN 要 广 的 概念 ，VPN 只 提供 了 流量 隔离 ，VLAN 则 
只 提供 了 基本 的 拓扑 管理 方法 。 网 络 虚拟 化 意味 着 对 虚拟 网 络 有 完全 的 控制 权 ， 包 括 虚 拟 网 
络 所 使 用 的 物理 资源 和 虚拟 网 络 所 提供 的 功能 。 
虚拟 网 络 提出 了 一 种 抽象 的 网 络 视图 ， 其 虚拟 资源 为 用 户 提供 类 似 于 物理 网 络 所 提供 的 
服务 。 由 于 虚拟 资源 是 通过 软件 定义 的 ， 虚 拟 网 络 的 管理 员 就 可 以 灵活 地 更 改 拓扑 、 迁 移 资 








248 








166 RAB wR 化 


源 、 改 变 不 同 资源 的 属性 和 服务 。 此 外 ， 虚 拟 网 络 用 户 不 仅 包括 网 络 服务 或 网 络 应 用 用 户 ， 
还 包括 服务 提供 商 ， 例 如 ， 一 个 云 服务 提供 商 能 通过 租用 虚拟 网 络 来 快速 增加 新 服务 或 扩大 
暑 善 范围 。 


9.4.1 一 个 简单 的 例子 


为 了 能 对 网 络 虚拟 化 中 的 概念 有 直观 认识 ， 我 们 这 里 介绍 一 个 简单 的 例子 。 图 9-9 显示 
了 一 个 包含 3 个 服务 器 和 5 个 交换 机 的 网 络 ， 这 幅 图 来 源 于 电子 书 《 软 件 定义 网 络 一 一 权 
威 指导 》[KUMA13]。 图 中 的 1 个 服务 器 是 可 信 平 台 ， 里 面 运 行 着 安全 操作 系统 ， 并 部 署 了 
防火 墙 软件 ， 所 有 的 服务 器 都 运行 了 管理 程序 ( hypervisor， 也 称 虚 拟 机 监视 右 )， 因 此 可 以 
支持 多 个 虚拟 机 。 某 个 公司 (公司 1 ) 的 资源 位 于 多 个 服务 器 上 ， 分 别 由 服务 器 1 上 的 三 个 
虚拟 机 (虚拟 机 1a、 虚 拟 机 1b 和 虚拟 机 1c)、 服 务 器 2 上 的 两 个 虚拟 机 (虚拟 机 1d 和 虚拟 
机 le)、 服 务 器 3 上 的 防火 墙 1 组成。 虚拟 交 换 机 用 于 在 跨 服务 器 的 虚拟 机 之 间 建 立 必要 的 
连接 ， 这 些 连 接 会 经 过 物理 交换 机 ， 而 物理 交换 机 为 物理 服务 器 之 间 提 供 了 连接 。 每 个 公司 
网 络 都 是 分 层 的 ， 就 像 是 建立 在 物理 网 络 之 上 的 独立 虚拟 网 络 。 因 此 ， 公 司 1 的 虚拟 网 络 在 
图 9-9 中 采用 椭圆 形 虚 线 标识 为 VN1， 男 一 个 用 虚线 标识 的 VN2 是 另 一 个 虚拟 网 络 。 

这 个 例子 描绘 了 三 个 抽象 层次 (如 图 9-10 所 示 )， 底 层 是 物理 资源 ， 它 们 跨越 了 一 个 或 
多 个 管理 域 。 服 务 器 在 逻辑 上 是 分 片 的 ， 以 支持 多 个 虚拟 机 ， 每 个 虚拟 机 至 少 包 含 一 个 内 存 
切片 ， 也 可 能 包含 IO 池 和 通信 端口 的 切片 ， 甚 至 是 处 理 器 或 服务 器 内 核 的 切片 。 这 里 就 有 
了 一 个 将 物理 和 逻辑 资源 映射 到 虚拟 资源 上 的 抽象 ， 而 这 种 抽象 可 以 通过 SDN 和 NFV 的 功 
能 实现 ， 并 通过 虚拟 资源 层 的 软件 来 管理 。 























图 9-9 一 个 虚拟 机 被 指派 到 不 同 管理 组 的 简单 网 络 


另 一 个 抽象 功能 是 用 于 创建 由 不 同 虚拟 网 络 构成 的 网 络 视图 ， 每 个 虚拟 网 络 由 独立 的 虚 
拟 网 络 管理 功能 所 管理 。 

如 例子 中 所 描述 ， 由 于 资源 在 软件 中 定义 ， 网 络 虚拟 化 提供 了 极 大 的 便利 性 。 虚 拟 网 
络 1 的 管理 员 可 以 为 交换 机 1 之 上 的 虚拟 机 和 交换 机 2 之 上 的 虚拟 机 之 间 的 流量 指定 特定 的 
QoS 需求 ， 还 可 以 设计 防火 墙 规则 来 对 流入 虚拟 网 络 的 流量 进行 管理 。 这 些 规范 必须 最 终 转 
换 为 能 在 物理 交换 机 和 防火 墙 上 配置 的 转发 和 过 滤 规 则 。 由 于 这 些 工作 都 在 软件 中 完成 ， 不 
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需要 虚拟 网 络 管理 员 了 解 物理 拓扑 和 物理 服务 器 设施 的 情况 ， 因 此 可 以 非常 容易 就 完成 相应 
的 改动 。 


虚拟 网 络 


虚拟 资源 








图 9-10 网 络 虚拟 化 的 抽象 层次 


9.4.2 网络 虚拟 化 的 体系 结构 


Y3011 是 体系 结构 方面 的 标准 ， 它 介绍 了 构成 网 络 虚拟 化 环境 的 要 素 ， 图 9-11 显示 了 
Y3011 标准 所 设计 的 体系 结构 ， 该 体系 结构 将 网 络 虚 拟 化 描述 为 四 个 层次 : 
e 物理 资源 
e 虚拟 资源 
e 虚拟 网 络 
e 服务 
多 个 虚拟 资源 可 以 共享 同一 个 物理 资源 ， 而 每 个 虚拟 网 络 (LNP) 则 由 多 个 虚拟 资源 组 
并 向 用 户 提供 一 系列 服务 。 
每 层 都 会 完成 各 自 的 管理 与 控制 功能 ， 这 些 功 能 不 必 由 相同 的 提供 商 实现 ， 而 每 个 
物理 网 络 及 其 相关 的 资源 都 有 相应 的 管理 功能 。 虚 拟 源 管理 器 (virtual resource manager, 
VRM) 对 从 物理 资源 创建 的 虚拟 资源 池 进行 管理 ，VRM 还 需要 与 物理 网 络 管理 器 ( physical 
network manager, PNM) 交互 从 而 获取 资源 的 权限 。VRM 会 创建 LINP， 而 LINP 管理 器 被 
分 配给 各 个 LINP。 
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物理 网 络 3 管理 器 
物理 网 络 4 管理 器 





物理 网 络 1 管 理 器 
物理 网 络 2 管理 器 


9-11 网 络 虚拟 化 的 体系 结构 (Y3011 ) 


图 9-12 提供 了 另 一 种 网 络 虚拟 化 体系 结构 单元 的 视图 ， 其 中 的 物理 资源 管理 模块 对 物 
理 资源 进行 管理 ， 并 可 能 创建 多 个 逻辑 资源 ， 这 些 逻辑 资源 与 物理 资源 有 相同 的 特征 。 虚 拟 
资源 管理 模块 可 以 通过 物理 层 和 虚拟 层 之 间 的 接口 实现 访问 物理 和 逻辑 资源 ， 虚 拟 资源 管 
理 模 块 从 物理 和 逻辑 资源 中 创建 虚拟 资源 ， 还 可 以 创建 结合 其 他 虚拟 资源 的 虚拟 资源 。 虚 拟 
网 络 管理 模块 可 以 在 多 种 虚拟 资源 之 上 创建 虚拟 网 络 ， 这 些 虚拟 资源 由 虚拟 资源 管理 模块 提 
供 。 一旦 虚拟 网 络 创建 完成 ， 虚 拟 网 络 管理 模块 就 开始 管理 自己 的 虚拟 网 络 。 





图 9-12 网络 虚拟 化 资源 层次 模型 
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9.4.3 网 络 虚 拟 化 的 优势 


SDxCentral 在 2014 年 发 起 了 一 次 调查 [SDNC14]， 调 查 对 象 由 220 个 组 织 组 成 ， 包 括 
网 络 服务 提供 商 、 小 型 和 中 型 企业 ( SMB)、 大 型 企业 和 云 服务 提供 商 。 调 查 认为 ， 网 络 虚 
拟 化 的 主要 优点 如 下 (如 图 9-13 所 示 ): 

e 灵活 性 : 网 络 虚拟 化 使 得 网 络 能 够 快速 迁移 、 部 署 和 扩展 ， 从 而 满足 虚拟 化 计算 和 

存储 基础 设施 各 种 各 样 的 需求 。 

s 节约 运 维 成 本 : 基础 设施 的 虚拟 化 简化 了 运 维 的 过 程 和 用 于 网 络 管理 的 设备 ， 使 其 
更 为 高 效 。 类 似 地 ， 用 一 个 统一 的 基础 设施 来 管理 服务 ， 可 以 将 基础 软件 联合 起 来 ， 
而 且 支持 度 更 好 。 这 种 统一 的 基础 设施 还 能 允许 不 同 服务 /组 件 内 部 或 之 间 实 现 自动 
化 和 进行 编排 。 从 一 个 单独 的 管理 组 件 集 来 说 ， 管 理 员 可 以 协调 资源 ， 让 程序 自动 
化 ， 以 满足 服务 可 用 的 需求 ， 同 时 减少 管理 员 介 和 到 管理 流程 的 需要 ， 降 低 可 能 发 
生 的 错误 。 

e 敏捷 性 : 网 络 拓扑 的 修改 或 流量 的 处 理 都 可 以 在 不 对 现 有 物理 网 络 修改 的 前 提 下 ， 采 
用 多 种 不 同 的 方法 来 尝试 。 

。 可 扩展 性 : 虚拟 网 可 以 通过 可 用 资源 池 来 增加 或 移 除 物理 资源 ， 从 而 快速 扩展 以 响 
应 不 断 变化 的 需求 。 

e 节约 资产 成 本 : 虚拟 化 部 署 方式 可 以 减少 设备 需求 ， 节 约 资产 及 运营 成 本 。 

。 能 将 服务 快速 推 上 市 场 : 物理 资源 可 以 按 需 分 配给 虚拟 网 络 ， 以 使 企业 内 部 的 资源 
能 根据 不 同 用 户 或 应 用 需求 的 变化 快速 迁移 。 从 用 户 角度 来 说 ， 可 以 申请 或 释放 资 
源 以 减少 对 系统 的 使 用 需求 。 新 服务 只 需要 很 少 的 培训 ， 而 且 可 以 只 需 很 短 时 间 的 
中 断 就 能 部 署 到 网 络 基 础 设施 中 。 

e 可 以 将 设备 合并 : 网 络 虚拟 化 使 得 网 络 资源 的 使 用 更 加 高 效 ， 可 以 通过 设备 合并 来 
减少 专用 设备 的 购置 ， 而 只 需 多 采购 一 些 现成 的 产品 。 
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9-13 ”网 络 虚拟 化 的 优点 


9.5 OpenDaylight 的 虚拟 租用 网 


虚拟 租用 网 ( Virtual Tenant Network, VIN) 是 由 NEC 公司 开发 的 OpenDaylight (ODL) 
插件 ， 它 利用 VLAN 技术 在 SDN 上 提供 了 多 租户 虚拟 网 络 。VTN 的 抽象 功能 让 用 户 能 在 不 
需要 掌握 物理 网 络 拓 扑 和 带宽 限制 的 条 件 下 设计 和 部 署 虚 拟 网 络 。VTN 还 允许 用 户 定义 与 
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传统 二 层 / 三 层 (局 域 网 交换 机 /PP 路 由 器 ) 网 络 类 似 的 网 络 。 一 旦 在 VTN 的 基础 上 设计 网 
络 ， 它 能 自动 映射 到 底层 的 物理 网 络 ， 然 后 利用 SDN 控制 协议 配置 各 个 交换 机 。 
VIN 由 如 下 两 部 分 组 件 构 成 (如 第 5 章 的 图 5-6 所 示 )。 
eo VIN 管理 器 : 这 是 一 个 ODL 控制 器 插件 程序 ， 通 过 与 其 他 模块 交互 来 实现 VIN 模 
型 的 组 件 ， 它 还 在 控制 器 中 提供 REST 接口 来 对 VTN 组 件 进 行 配 置 。 
e VIN 协调 器 : 这 是 一 个 外 部 应 用 程序 ， 为 用 户 提 供 REST 接口 来 进行 VIN 虚拟 化 。 
它 通过 与 VTN 管理 器 插件 的 交互 来 实现 用 户 配置 ， 它 还 具备 多 控制 器 编排 的 功能 。 
K 9-1 显示 了 构建 虚拟 网 络 的 各 个 模块 单元 。 虚 拟 网 络 由 虚拟 结 点 〈 虚 拟 网 桥 、 虚 拟 路 
由 器 )、 虚 拟 接口 和 链 路 构成 。 通 过 虚拟 链 路 来 连接 虚拟 结 点 上 的 虚拟 接口 还 能 配置 出 一 个 
具备 二 层 和 三 层 传输 功能 的 网 络 。 
表 9-1 虚拟 租用 网 单元 


单元 名 称 描述 
二 层 交 换 机 功能 的 逻辑 表示 
三 层 路 由 器 功能 的 逻辑 表示 。 一 个 VTN 中 只 能 定义 一 个 vRouter， 而 且 它 
只 能 与 vBridge 相连 
es 虚拟 结 点 的 逻辑 表示 ， 该 结 点 与 映射 到 某 个 物理 端口 的 接口 相连 ， 该 端口 则 
是 流 过 滤器 中 重 定向 属性 的 源 端 或 目的 端 
隧道 的 逻辑 表示 (由 vTep 和 vBypas 组 成 ) 
隧道 端 结 点 的 逻辑 表示 
受 控 网 络 之 间 连 接 的 旭 辑 表示 
虚拟 接口 虚拟 结 点 (虚拟 机 、 服 务 器 、vBridge、vRouter 等 ) 之 上 端 结 点 的 表示 
虚拟 链 路 vLink 虚拟 接口 之 间 第 一 层 连接 的 逻辑 表示 


图 9-14 中 的 上 半 部 分 是 一 个 虚拟 网 络 实例 ， 其 中 VRT 是 vRouter，BR1 和 BR2 是 
vBridge, vRouter 和 vBridge 的 接口 通过 vLink 互 连 。 一 旦 VTN 管理 器 用 户 定 义 了 一 个 虚 
拟 网 络 ，VTN 协调 器 将 物理 网 络 资源 映射 到 构建 好 的 虚拟 网 络 上 ， 该 映射 标记 了 OpenFlow 
交换 机 传输 或 接收 的 各 个 分 组 属于 哪个 虚拟 网 络 ， 以 及 OpenFlow 交换 机 从 哪个 接口 传输 或 
接收 该 分 组 。 目 前 有 以 下 两 种 映射 方法 。 

e 端口 映射 : 这 种 映射 方法 用 于 将 物理 端口 映射 到 虚拟 结 点 (vBridge/vTerminal) 的 接 

口上 。 当 网 络 拓 扑 提 前 可 知 时 ,端口 映射 是 有 效 的 。 

e VLAN 映射 : 这 种 映射 方法 用 于 将 VLAN 标签 的 VLAN ID 映射 到 从 vBridge 到 达 的 

二 层 数据 帧 中 。 当 附属 的 网 络 或 它 的 VLAN 标签 已 知 时 ， 采 用 这 种 映射 方法 ， 选 择 
这 种 映射 方法 可 以 减少 需要 设置 的 命令 。 

图 9-14 展示 了 一 个 映射 的 例子 ， 其 中 BR1 的 接口 映射 到 OpenFlow 交换 机 SW1 的 端口 
上 ， 从 这 个 端口 接收 到 的 分 组 会 被 认为 是 从 BRI 对 应 的 接口 接收 到 的 分 组 。vBridge ( BRI ) 
上 的 接口 ifl 采用 端口 映射 的 方法 映射 到 交换 机 SW1 的 GBE0/1 端口 上 ， 所 有 在 该 端口 上 接 
收 或 传输 的 分 组 都 被 认为 是 接口 ifl 所 接收 或 传输 的 分 组 。vBridge BR2 采用 vlan 映射 的 方 
法 映射 到 VLAN 200 上 ， 所 有 分 组 只 要 VLAN ID 为 200, 无 论 是 在 哪个 交换 机 的 端口 上 接 
收 或 传输 ， 都 会 被 映射 到 BR2 上 。 

VTN 提供 了 对 穿越 虚拟 网 络 的 流量 进行 定义 和 管理 的 能 力 。 利 用 OpenFlow， 可 以 根据 
分 组 中 不 同 字段 的 值 对 流 进 行 定义 ， 具 体 的 定义 方法 可 以 采用 下 列 字 段 中 的 一 个 或 多 个 结合 
起 来 实现 : 
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VLAN 映射 : 
VLAN ID = 200 ( 


图 例 说 明 : 


vBridge 接口 
vBridge vRouter vRouter 接口 





图 9-14 VTN 映射 实例 


源 MAC 地 址 

目的 MAC 地 址 
以 太 网 类 型 

VLAN 优先 级 

源 IP 地 址 

目的 IP 地 址 

IP 版 本 

区 分 服务 代码 点 (DSCP) 
TCP/UDP 源 端口 号 
TCP/UDP 目的 端口 号 
ICMP 类 型 

ICMP 代码 


DSCP”IP 首 部 中 的 一 个 6 比特 长 的 字段 ， 用 于 对 分 组 实施 区 分 服务 ( QoS 流 管理 的 
二 种 方式 )。 ia 
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#2 9-2 列 出 了 主要 的 动作 类 型 ， 这 些 动作 类 型 可 以 应 用 在 匹配 流 过 滤 条 件 的 分 组 上 。 
表 9-2 ”虚拟 租用 流 过 滤 动 作 


动作 具体 描述 
通过 允许 匹配 特定 条 件 的 分 组 通过 
EF 将 匹配 特定 条 件 的 分 组 丢弃 


将 分 组 重 定向 到 一 个 特定 的 虚拟 接口 ， 这 里 的 重 定向 支持 透明 重 定向 (不 改变 MAC 地址) 


让 全 和 路 由 器 重 定向 (改变 MAC 地 址 ) 

优先 级 利用 下 首都 的 DSCP 字段 设置 分 组 的 优先 级 

带宽 设置 策略 参数 ， 根 据 数据 速率 统计 阔 值 设置 动作 ， 这 些 动作 包括 通过 ， 丢 弃 和 降低 优先 级 
统计 收集 统计 信息 


图 9-15 显示 了 VTN 的 总 体 架构 ， 其 中 
VTN 管理 器 是 OpenDaylight 控制 器 的 一 部 
分 ， 它 利用 基础 网 络 服务 功能 来 获取 底层 网 有 
络 的 拓扑 和 各 项 统计 信息 。 用 户 或 应 用 通过 
Web 或 REST 接口 创建 虚拟 网 络 ， 并 为 VTN 
协调 器 设 定 网 络 行为 。VTN 协调 器 将 这 些 命 
令 转 换 为 详细 的 指令 ， 并 发 送 给 VTN 管理 
器 ，VTN 管理 器 随后 利用 OpenFlow 将 虚拟 
网 络 映射 到 物理 网 络 基础 设施 上 。 


9.6 软件 定义 的 基础 设施 


近 些 年 ， 企 业 和 运营 商 的 数据 中 心 、 云 spake 
计算 设施 和 网 络 基础 设施 的 复杂 性 出 现 了 用 9-15 “OpenDaylight VIN RSR 
爆炸 性 的 增长 ， 而 一 种 解决 这 些 复杂 性 难题 的 设计 原则 就 是 软件 定义 的 基础 设施 ( software- 
defined infrastructure, SDI)。 利 用 SDI， 数 据 中 心 或 网 络 基 础 设施 可 以 在 运行 时 根据 应 用 / 
商业 需求 和 运营 商 的 限制 条 件 进行 自动 化 配置 ，SDI 的 自动 化 使 得 基础 设施 运营 商 能 够 更 好 
地 完成 服务 等 级 约定 ， 避 免 过 量 供应 ， 并 自动 地 实现 安全 和 其 他 网 络 相关 功能 。 

SDI 的 另 一 个 重要 特点 是 高 度 的 应 用 驱动 。 应 用 的 变化 要 远 慢 于 支撑 它们 的 生态 系统 
(包括 硬件 、 系 统 软 件 和 网 络 )， 用 户 和 企业 会 长 期 使 用 选中 的 应 用 ， 即 使 他 们 更 换 硬 件 或 其 
他 基础 设施 单元 的 速度 要 频繁 得 多 。 因 此 ， 如 果 整 个 基础 设施 是 软件 定义 化 的 ， 并 且 能 够 应 
对 快速 的 基础 设施 技术 变化 ， 那 么 提供 商 将 会 处 于 非常 有 利 的 位 置 。 

SDN AI NFV 是 实现 SDI 的 关键 技术 ，SDN 提供 了 灵活 的 网 络 控 制 系统 ， 使 得 网 络 资源 
能 够 动态 供应 ， 而 NFV 将 网 络 功 能 虚拟 化 为 预先 包装 好 的 软件 服务 ， 这 些 服务 能 方便 地 在 
云 或 网 络 基础 设施 环境 中 部 署 。 因 此 ， 不 需要 硬 编码 服务 部 署 和 网 络 服务 ， 资 源 现在 可 以 进 
行动 态 供 给 ， 还 能 通过 软件 服务 对 流量 进行 管控 ， 从 而 极 大 提高 资源 供给 时 的 灵活 性 。 尽 管 
SDN fil NFV 是 SDN 中 的 必要 组 件 ， 它 们 自己 并 不 提供 智能 化 功能 来 自动 生成 所 需 的 配置 。 
因此 ， 我 们 需要 考虑 利用 SDN 和 NFYV 作为 平台 来 部 署 支持 SDI 的 软件 。 

Pott 在 文献 [POTT14] 中 列 出 了 SDI 应 提供 的 一 些 关键 特性 ， 具 体 如 下 : 

e 具备 完全 内 舱 的 重复 数据 删除 (data deduplication) 和 压缩 功能 的 分 布 式 存储 资源 。 

e 完全 自动 化 和 集成 化 的 备份 ， 备 份 是 应 用 感知 的 ， 能 自动 配置 和 测试 。 新 一 代 SDI 


VTN 
应 用 /用 户 






REST API 
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将 可 能 实现 “ 零 接 触 ”。 

完全 自动 化 和 集成 化 的 灾难 恢复 ， 它 是 应 用 感知 的 ， 能 自动 配置 和 测试 。 新 一 代 SDI 
将 可 能 实现 “ 零 接触 ”。 

完全 集成 化 的 混合 云 计算 ,在 使 用 公有 云 资源 时 就 像 在 本 地 使 用 一 样 容易 。 具 备 基 
于 成 本 、 数 据 所 有 权 要 求 、 时 延 /位 置 需求 等 在 多 个 云 提 供 商 之 间 迁 移 的 能 力 。 云 提 
供 商 要 想 在 混合 云 的 应 用 中 取胜 ， 就 要 建立 隐私 和 安全 性 感知 ， 并 允许 管理 员 方 便 
地 选择 本 地 提供 商 以 及 那些 没有 外 部 攻击 情况 的 提供 商 ， 而 且 能 清楚 地 对 他 们 进行 
区 分 。 

广域网 优化 技术 。 

运行 在 机 器 上 的 管理 程序 或 管理 程序 / 容器 的 混合 体 。 

允许 管理 员 管 理 硬件 和 管理 程序 的 管理 软件 。 

能 检测 新 应 用 和 操作 系统 并 自动 监测 它们 的 自 适应 监测 软件 ， 自 适应 监测 不 需要 手 
工 配 置 。 

能 确定 资源 何 时 将 超过 容量 、 硬 件 何 时 可 能 出 现 故 障 、 授 权 何 时 到 期 的 预测 分 析 软 件 。 
在 给 定 现 有 硬件 和 许可 权限 的 条 件 下 ， 能 确保 硬件 和 软件 组 件 达到 最 大 容量 的 自动 
和 负载 最 大 化 软件 。 

不 仅 能 按 需 启动 应 用 程序 组 ， 还 能 提供 类 似 “ App Store ”体验 ， 只 需要 像 在 本 地 基 
础 设施 上 点 击 几 下 来 选择 新 资源 并 让 其 启动 的 编排 软件 。 

作为 附加 在 编排 软件 上 的 自 扩展 功能 会 智能 地 根据 实际 情况 增加 资源 (CPU、 内 存 
等 ) 的 容量 或 者 启动 新 的 应 用 实例 来 处 理 负载 ， 也 可 以 在 必要 的 时 候 缩小 资源 规模 。 

。 跨 私 有 基础 设施 和 共有 云 工作 的 混合 身份 服务 ， 这 些 服务 不 仅 可 以 管理 身份 ， 还 提 
供 完整 的 用 户 体验 管理 解决 方案 ， 这 些 解 决 方案 可 适用 于 任何 地 方 。 

完整 的 软件 定义 网 络 栈 ， 包 括 数据 中 心间 以 及 公有 云 和 私有 云 之 间 的 二 层 扩展 。 这 
意味 着 启动 资源 将 同时 自动 配置 网 络 、 防 火 墙 、 入 侵 检测 、 应 用 层 网 关 、 镜 像 、 负 
载 均衡 、 内 容 分 发 网 注册 、 证 书 等 。 

© 创建 混乱 状态 以 进行 随机 自动 化 故障 测试 ， 从 而 确保 网 络 仍然 满足 需求 。 


重复 数据 删除 TR A es tog il 
用 指向 一 个 副本 的 指针 来 替换 重复 的 数据 块 /文件 块 副本 。 


9.6.1 软件 定义 存储 


正如 前 文 所 述 ，SDN M NFV 是 SDI 的 关键 要 素 ， 而 男 一 个 与 这 两 者 同样 重要 的 要 素 是 
目前 正 兴 起 的 技术 ， 即 软件 定义 存储 (software-defined storage, SDS), SDS 是 管理 数据 中 心 
中 各 个 存储 系统 的 框架 ， 这 些 数 据 中 心 在 传统 方式 上 并 未 统一 。SDS 提供 了 对 这 些 存储 设施 
进行 管理 的 能 力 ， 以 满足 特定 的 服务 等 级 约定 并 支持 各 类 应 用 。 主 流 的 SDS 物理 架构 是 基 
于 分 布 式 存储 的 ， 其 中 存储 设备 分 布 在 网 络 各 处 。 

图 9-16 说 明了 一 个 典型 SDS 架构 的 构成 ， 其 中 物理 存储 由 磁盘 阵列 和 固态 盘 阵 列 组 成 ， 
它们 可 以 来 自 不 同 的 厂商 。 与 物理 存储 平面 相 分 离 的 是 统一 的 控制 软件 集 ， 它 必须 包括 能 与 
各 种 厂商 设备 相连 接 并 控制 、 检 测 这 些 设备 的 自 适应 逻辑 。 这 些 自 适应 层 的 顶部 是 一 些 基础 
存储 服务 。 应 用 程序 接口 提供 了 数据 存储 的 抽象 视图 ， 使 应 用 程序 不 需要 关心 存储 系统 的 位 
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置 、 属 性 或 容量 。 此 外 ,还 有 一 个 管理 接口 能 让 SDS 管理 员 对 分 布 式 存储 设施 进行 管理 。 

SDS 将 重点 放 在 存储 服务 ， 而 不 是 存储 硬件 。 通 过 将 存储 控制 软件 与 硬件 解 耦 ， 存 储 资 
源 可 以 更 高 效 地 得 到 利用 ， 而 且 在 管理 上 也 更 为 简单 。 例 如 ， 一 个 存储 管理 员 可 以 在 决定 如 
何 配给 存储 资源 时 不 需要 考虑 特定 硬件 的 属性 来 使 用 SLA。 在 本 质 上 ， 资 源 都 聚合 成 存储 
池 ， 从 而 指派 给 用 户 ， 并 利用 数据 服务 来 满足 用 户 或 应 用 的 需求 和 维护 服务 等 级 。 当 应 用 需 
要 额外 的 资源 时 ， 存 储 控制 软件 就 会 自动 添加 这 些 资源 。 反 过 来 说 ， 当 资源 不 再 使 用 时 ， 这 
些 资 源 就 会 被 释放 出 来 。 存 储 控制 软件 还 能 自动 将 有 故障 的 组 件 和 系统 移 除 。 




















存储 控制 平面 
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图 9-16 软件 定义 存储 的 架构 


9.6.2 SDI 架构 


许多 公司 ,包括 IBM、 思 科 、 英 特 尔 和 惠普 ， 都 在 生产 或 研究 SDI 产品 。 目 前 还 没有 
标准 的 SDI 规 范 ， 而 且 不 同 产品 之 间 也 存在 较 大 的 差异 ， 但 是 不 同 厂商 所 设计 的 SDI 总 体 
架构 都 较为 类 似 ， 一 个 典型 的 例子 就 是 英特尔 所 设计 的 SDI 架 构 ， 图 9-17 显示 了 该 架构 ， 
该 架构 共 分 三 层 ， 下 面 对 各 层 进 行 简要 描述 。 

编排 层 : 允许 高 层 框架 在 不 干扰 正在 运行 的 操作 的 前 提 下 对 组 合 层 进行 动态 管理 的 策略 
引擎 。 

组 合 层 : 比 系 统 软件 低 一 级 的 层次 ， 能 持续 自动 地 对 硬件 资源 池 进 行 管理 。 

硬件 池 : 抽象 的 、 模 块 化 的 硬件 资源 池 。 

编排 层 驱动 着 整个 架构 ， 该 层 在 满足 应 用 服务 需求 的 同时 主要 关注 高 效 配置 或 资源 。 英 
特 尔 初始 的 焦点 在 云 提 供 商 ， 但 是 其 他 诸如 大 数据 和 数据 中 心 等 应 用 领域 也 借鉴 了 SDI 方 法 。 
该 层 持续 监测 状态 数据 ， 使 其 能 够 快速 解决 服务 问题 ， 并 不 断 对 硬件 资源 分 配 进 行 优化 。 

组 合 层 是 对 虚拟 机 、 存 储 器 、 网 络 等 设备 进行 管理 的 控制 层 。 在 该 架构 下 ， 虚 拟 机 可 以 


看 作 是 动态 的 计算 、 存 储 和 网 络 资源 的 组 合 ，i 


管 当前 的 虚拟 机 技术 在 非 虚 拟 服务 器 之 上 提 
供 了 一 定 的 灵活 性 ， 并 节约 了 成 本 ,但 仍然 
被 认为 不 够 高 效 。 提 供 商 试图 调整 系统 的 规 
模 以 满足 虚拟 机 所 能 承受 的 最 大 需求 ， 通 过 
超额 配给 来 提供 服务 保证 。 通 过 软件 定义 的 
资源 分 配 ， 可 以 灵活 地 实现 虚拟 机 创建 、 配 
给 、 管 理 、 迁 移 和 回收 。 类 似 地 ，SDS 也 为 
存储 资源 的 高 效 使 用 创造 了 机 会 。 

组 合 层 也 可 以 实现 计算 、 网 络 和 存储 资 
源 在 逻辑 上 的 分 解 ， 
确 地 满足 各 个 应 用 的 需求 。 英 特 尔 的 机 柜 式 
架构 (rack scale architecture, RSA) 能 在 硬 
件 层 对 其 提供 支持 。RSA 充分 利用 具有 高 数 
据 传 输 速 率 的 光 连 接 组 件 来 重新 设计 计算 机 
机 架 系 统 的 实现 方法 。 在 RSA BIH, FE 


这 样 每 个 虚拟 机 都 能 精 ”应 用 程序 配给 资源 管理 
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这 些 资源 集成 起 来 供应 用 实例 运行 所 用 。 尽 














云 工作 流 、 云 操作 系统 


描述 性 元 数据 性 能 
概要 状态 和 健康 数据 





组 合 层 
监控 、 管 理 和 配置 
虚拟 /物理 基础 设施 


虚拟 机 生命 周期 描述 性 元 数据 性 能 


概要 状态 和 健康 数据 


灵活 的 配置 包括 机 架 扩展 架构 
计算 机 、 存 储 器 、 内 存 、 网 络 


图 9-17 英特尔 的 三 层 SDI 模型 


互 连 的 速度 可 以 让 单个 组 件 (处 理 器 、 内 存 、 存 储 器 和 网 络 ) 不 再 需要 部 署 在 同一 个 机 器 内 ， 
每 类 组 件 都 可 以 采用 单独 和 专用 的 机 架 ， 而 且 规 模 可 以 扩展 以 满足 数据 中 心 的 需求 。 

图 9-18 展示 了 英特尔 的 另 一 种 SDI 架构 视图 ， 它 是 从 男 一 个 机 构 的 SDI 架构 引申 出 
来 的 ， 其 中 资源 池 由 存储 、 网 络 和 计算 资源 构成 。 从 硬件 的 角度 来 说 ， 它 们 也 可 以 部 署 在 
RSA 中 ， 而 从 控制 的 角度 来 说 ，SDS、SDN 和 NFV 技术 使 得 这 些 资源 能 在 SDI 的 总 体 框架 


下 被 管理 起 来 。 


基础 TEATE 
安全 温度 





软件 根据 应 用 的 特有 需求 
资源 的 配给 、 管 理 和 分 配 


利用 率 ”位 置 
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图 9-18 英特尔 的 SDI 架构 


97 ”重要 术语 
学 完 本 章 后 ， 你 应 当 能 够 定义 下 列 术语 。 
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广播 地 址 
广播 域 
重复 数据 删除 


区 分 服务 代码 点 (DSCP) 
IEEE 802.3 

IP 安全 协议 (IPsec) 

局 域 网 交换 机 

逻辑 资源 

MAC 帧 

网 络 虚拟 化 
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用 户 需求 的 定义 与 文 择 技 术 





我 们 开始 理解 ， 至 少 是 意识 到 ， 在 通信 系统 中 处 理 重要 性 等 级 不 同 的 用 户 在 竞 
争 资源 时 ， 出 现时 延 和 过 载 现象 的 原因 。 这 是 未 来 我 们 能 够 实现 自动 化 高 度 成 熟 的 
优先 级 系统 的 基础 ， 这 些 系统 非常 有 效 ， 甚 至 可 以 起 到 与 专业 判断 相等 价 的 作用 。 
分 布 式 通信 ， 分 布 式 通信 网 概述 ，RM-3420-PR 报告 ，Paul Baran，1964 年 8 月 





第 10 章 服务 质量 
第 11 章 QoE: 用 户 体验 质量 
第 12 章 QoS 和 QoE 对 网 络 设计 的 影响 


任何 复杂 的 共享 网 络 体系 结构 被 接受 且 获 得 成 功 的 基础 是 它 能 满足 用 户 所 期 望 的 性 
能 。 传 统 上 ， 性 能 的 定义 、 测 量 、 保 证 以 及 达成 定义 良好 约定 的 相关 内 容 都 属于 服务 质量 
( quality of service, QoS) 概念 的 范畴 。QoS 是 所 有 网 络 设 计 中 重要 的 因素 。 第 10 章 介 绍 了 
QoS 的 总 体 概念 和 标准 。 当 前 ， 从 Qos 又 延伸 出 了 体验 质量 (quality of experience, QoE) 
的 概念 ，QoE 尤其 与 交互 式 视频 和 多 媒体 网 络 流 相 关 。 第 11 章 概述 了 QoE， 并 讨论 了 实现 
QoE 机 制 的 各 种 实用 方法 。 第 12 章 进 一 步 探讨 了 将 QoS 和 QoE 结合 对 网 络 设计 的 影响 。 














38 10 # | 


Foundations of Modern Networking: SDN, NFV, QoE, IoT, and Cloud 


服务 质量 





在 提出 的 各 种 机 制 中 ， 网 络 中 数据 流 的 优先 级 每 时 每 刻 都 要 自动 地 重新 确定 。 
优先 权 在 计算 时 采用 以 下 几 种 方法 的 综合 ， 包 括 (1) 网 络 接收 额外 流量 的 能 力 ; 
(2) 每 个 用 户 的 重要 性 和 它 的 流量 效用 ; (3) 每 个 输入 传输 介质 或 转换 器 的 数据 过 
率 ; (4) 流量 在 传输 过 程 中 对 时 延 的 容忍 程度 。 

一 一 《分 布 式 通信 : 级 别 、 优 先 权 和 过 载 》 
兰 德 报告 RM-3638-PR，Paul Baran，1964 年 8 月 


本 章 目 标 

学 完 本 章 后 ， 你 应 当 能 够 : 

e 描述 ITU-T 的 QoS 体系 框架 。 

© 总 结 综合 服务 体系 结构 的 关键 概念 。 

o 对 比分 析 弹 性 流量 和 非 弹性 流量 。 

© 解释 区 分 服务 的 概念 。 

© 理解 服务 等 级 约定 的 使 用 。 

o 描述 IP 性 能 指标 。 

o 概述 OpenFlow 对 QoS 的 支持 。 

因特网 和 P 企业 网 在 数据 流 的 容量 和 类 型 方面 一 直 皇 现 快速 增长 ， 云 计算 、 大 数据 、 
企业 网 中 移动 设备 的 广泛 使 用 以 及 视频 流量 的 不 断 增加 都 为 如 何 保 持 符合 要 求 的 网 络 性 能 
带 来 了 巨大 挑战 。 测 量 企业 所 期 望 网 络 性 能 的 两 种 重要 工具 分 别 是 服务 质量 (QoS) 和 体验 
质量 ( QoE)。 正 如 在 第 2 章 中 所 介绍 的 那样 ，QoS 可 用 于 对 网 络 服务 进行 端 到 端 性 能 的 测 
量 ， 可 以 通过 用 户 和 服务 提供 商 之 间 的 服务 等 级 约定 (service level agreement, SLA) 来 保证 
QoS， 从 而 满足 特定 用 户 应 用 的 需求 。 QoE 是 一 种 由 用 户 所 报告 的 主观 性 能 指标 。 与 QoS 
能 进行 精确 测量 所 不 同 的 是 ，QoE 取决 于 人 的 感受 。 

QoS 和 QoE 让 网 络 管理 员 能 够 确定 网 络 是 否 满足 用 户 需求 ， 并 诊断 出 需要 进行 网 络 管 
理 和 网 络 流量 控制 的 故障 域 。 本 章 将 对 QoS 进行 详细 介绍 ， 第 11 章 和 第 12 章 将 介绍 QoE 
以 及 QoS 与 QoE 之 间 的 关系 ， 并 描述 QoE/QoS 架构 设计 的 意义 。 

IP 网 络 对 保证 各 种 流量 的 QoS 要 求 有 着 强烈 的 需求 ， 本 章 将 从 介绍 总 体 QoS 架构 开 
始 ， 描 述 互联 网 的 功能 和 服务 如 何 满足 这 些 需 求 。 然 后 ,介绍 综合 服务 体系 结构 (Intergrated 
Services Architecture, ISA)， 该 体系 结构 为 当前 和 未 来 的 因特网 服务 提供 了 一 种 框架 。 接 着 ， 
我 们 将 学 习 区 分 服务 的 主要 概念 ， 最 后 对 SLA 和 IP 性 能 指标 的 相关 内 容 进 行 总 结 。 

回顾 2.1 节 (该 节 对 不 同类 型 的 流量 和 QoS 需求 进行 了 总 结 ) 的 知识 将 有 助 于 本 章 内 容 
的 学 习 。 
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10.1 背景 


从 历史 角度 来 讲 ， 因 特 网 和 其 他 IP 网 络 提供 了 尽力 而 为 (best effort) 的 传输 服务 ， 这 
就 意味 着 网 络 试图 公平 地 将 它 的 资源 分 配给 所 有 的 网 络 流量 ， 而 不 会 考虑 应 用 的 优先 级 、 流 
量 模式 和 负载 以 及 用 户 的 需求 。 为 了 避免 网 络 由 于 拥塞 而 裔 省， 保证 某 些 流 不 会 被 其 他 流 挤 
出 网 络 ， 网 络 采用 了 拥塞 控制 机 制 ， 该 机 制 会 对 流量 进行 管控 ， 防 止 它 们 占用 过 多 的 资源 。 


尽力 而 为 -一 种 网 络 或 因特网 传输 技术 ， 它 不 能 保证 数据 的 传输 ; 但 是 会 公平 地 对 待 
每 个 分 组 。 所 有 分 组 搂 照 先 来 先 服务 的 方式 进行 转发 ， 网 络 不 提供 基于 优先 权 或 其 他 方式 
的 服务 。 


最 重要 的 拥塞 控制 技术 之 一 是 早期 就 已 提出 目前 仍 在 广泛 使 用 的 TCP 拥塞 控制 机 制 。 
E TOP 拥塞 控制 已 经 日 益 复杂 和 成 熟 ， 但 是 这 里 仍然 值得 对 其 原理 进行 简要 的 概述 。 对 
于 网 络 中 两 个 端 系统 之 间 的 TCP 连接 来 说 ， 接 收 和 发 送 方向 都 有 一 个 滑动 窗口 ， 而 TCP 的 
报 文 段 都 按 序 添加 了 编号 。 发 送 和 接收 TCP 实体 维护 着 一 个 窗口 或 缓存 ， 该 窗口 /缓存 定 
义 了 可 以 传输 的 报 文 段 的 编号 范围 。 当 报 文 段 抵达 并 被 接收 方 处 理 时 ， 接 收 方 会 返回 一 个 确 
认 报 文 ， 该 报 文 说 明了 哪些 报 文 段 已 经 被 正确 接收 ， 同 时 还 暗示 发 送 方 可 以 开始 发 送 更 多 的 
报 文 段 过 来 。 发 送 方 采用 不 同 的 算法 根据 确认 报 文 的 RTT 以 及 确认 报 文 是 否 正确 接收 来 推 
断 链 路 的 拥塞 情况 。 一 旦 检测 到 拥塞 ， 发 送 端的 TCP 实体 会 降低 报 文 段 的 发 送 速率 ， 以 帮 
助 缓解 网 络 的 拥塞 。 

如 果 因 特 网 中 所 有 的 TCP 连接 都 遵守 拥塞 控制 机 制 ，TCP 将 能 有 效 地 工作 。 但 是 如 果 
有 有些“ 自私 的 ”的 应 用 不 遵循 拥塞 控制 规则 ， 并 试图 尽 可 能 快 地 发 送 报 文 段 ， 将 会 降低 该 机 
制 的 效果 。 

尽管 TCP 拥塞 控制 和 其 他 网 络 拥塞 控制 技术 可 以 减少 网 络 拥塞 带 来 的 风险 ,但 这 些 技 
术 无 法 直接 解决 QoS 的 需求 问题 。 随 着 流量 强度 和 种 类 的 不 断 增加 ， 各 种 QoS 机 制 被 提出 
来 ， 包 括 综合 服务 体系 结构 (ISA) 和 区 分 服务 (DiffSserv)， 这 些 机 制 往往 伴随 着 SLA， 以 
为 不 同 客 户 提供 可 调 的 甚至 是 可 预测 的 服务 。 这 些 机 制 和 服务 主要 是 为 了 实现 两 个 目的 : 

e 高 效 地 分 配 网 络 资源 从 而 实现 网 络 利 用 的 最 大 化 。 

o 使 网 络 能 根据 客户 需求 为 其 提供 不 同等 级 的 QoS. 

在 更 为 复杂 的 环境 中 ， 尽 力 而 为 这 一 概念 与 总 体 的 网 络 服务 无 关 ， 而 是 针对 某 类 流量 以 
尽力 而 为 的 方式 进行 处 理 。 所 有 这 类 流量 中 的 分 组 在 传输 过 程 中 不 会 得 到 传输 速率 方面 的 保 
证 ， 也 不 会 得 到 数据 能 完整 到 达 接 收 方 的 保证 。 通 常情 况 下 ， 在 一 个 提供 了 多 种 服务 等 级 的 
网 络 中 ， 尽 力 而 为 是 最 低 等 级 的 流量 类 型 ， 但 是 对 于 某 些 应 用 ， 还 有 一 类 比 尽 力 而 为 级 别 更 
低 的 服务 ， 称 为 低级 尽力 而 为 (lower than best effort 或 lower effort, LE), LE 类 型 的 服务 允 
许 网 络 管理 员 将 其 严格 限制 在 尽力 而 为 /普通 类 型 之 下 ， 或 所 有 其 他 网 络 流量 之 下 ， 这 种 类 
型 的 服务 往往 适用 于 背景 数据 传输 应 用 (例如 文件 共享 和 系统 补丁 更 新 )， 或 用 于 将 流量 推 
迟到 非 高 峰 期 时 段 再 传输 。 


10.2 QoS 体系 结构 的 框架 


在 学 习 因特网 和 私有 网 络 提供 QoS 保证 的 相关 标准 之 前 ， 有 必要 先 介 绍 一 下 实现 QoS 
保证 的 总 体 体系 框架 及 相关 单元 ， 该 体系 框架 由 国际 电信 联盟 的 电信 标准 化 部 门 (ITU-T) 
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(268) 设计 ， 并 作为 它 的 Y 系列 建议 书 ? 一 部 分 。Y.1291 建议 书 “ 一 种 在 分 组 网 络 中 支持 QoS 的 


体系 框架 ”给 出 了 一 个 构成 QoS 框架 机 制 和 服务 的 全 局 性 概述 。 

Y.1291 框架 包括 一 组 通用 网 络 机 制 来 控制 网 络 服务 对 服务 请 求 的 响应 ， 这 些 机 制 具体 
到 网 络 单元 、 网 络 单元 之 间 的 信 令 或 是 控制 和 管理 跨 网 络 流量 的 内 容 ， 图 10-1 显示 了 这 些 
单元 之 间 的 关系 。 总 体 来 说 ， 这 些 单元 可 以 划分 为 三 个 平面 分别 是 数据 、 控 制 和 管理 平 
面 。 该 体系 框架 很 好 地 概述 了 QoS 功能 及 功能 之 间 的 关系 ， 为 总 结 QoS 提供 了 有 用 的 基础 。 





图 10-1 支持 QoS 的 体系 框架 


10.2.1 数据 平面 


数据 平面 包含 直接 对 数据 流 进行 操作 的 机 制 ， 下 面 简要 介绍 这 些 机 制 。 

流量 分 类 是 指 通过 网 络 边缘 的 入 口 路 由 器 将 分 组 指派 为 某 一 类 流量 。 通 常情 况 下 ， 分 类 
实体 通过 查看 分 组 的 多 个 字段 来 确定 分 组 应 该 聚合 到 哪 一 类 ， 例 如 源 和 目的 地 址 、 应 用 层 负 
载 和 QoS 标记 等 。 流 量 分 类 为 网 络 元 素 提供 了 一 种 为 不 同类 别 的 分 组 根据 其 重要 性 来 赋予 
权重 的 方法 ， 所 有 分 配给 一 个 特殊 流 或 其 他 聚合 的 分 组 都 会 得 到 相同 的 处 理 方式 。IPv6 首 
部 的 流标 签 也 可 以 用 于 流量 分 类 ， 其 他 路 由 器 也 可 以 执行 流量 分 类 ， 但 是 分 组 在 网 络 中 传输 
时 其 类 别 不 会 发 生 改变 。 

分 组 标记 包括 两 个 不 同 的 功能 ， 一 是 分 组 在 网 络 边 缘 的 入 口 结 点 处 添加 标记 ， 从 而 指明 
分 组 应 当 得 到 的 QoS， 例 子 就 是 IPv4 和 IPv6 分 组 的 区 分 服务 字段 以 及 MPLS 标签 中 的 流量 
类 别 字段 。 网 络 边缘 入 口 结 点 可 以 在 这 些 字段 上 设置 相应 的 值 从 而 表明 该 分 组 所 期 望 得 到 的 
QoS， 中 间 结 点 可 以 利用 这 些 标 记 来 为 到 达 的 分 组 提供 有 差别 的 服务 。 分 组 标记 的 另 一 个 功 


O Y 系 列 建议 名 为 “全 球 信息 基础 设施 、 因 特 网 协议 特点 与 下 一 代 网 络 "， 其 中 包含 了 许多 解决 QoS、 拥 塞 控 


制 、 流 量 管理 等 问题 的 有 用 文档 。 
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能 是 在 入 口 结 点 或 中 间 结 点 处 ， 将 某 些 分 组 标记 为 超 发 分 组 ， 这 些 分 组 在 网 络 出 现 拥 塞 的 时 
候 可 以 被 丢弃 。 

流量 整形 根据 每 条 流 的 信息 来 对 到 达 和 通过 的 流传 输 速 率 和 容量 进行 控制 。 负 载 流量 整 
形 的 实体 会 缓存 超 发 分 组 ， 直 至 这 些 分 组 各 自 聚 合 后 的 速率 服从 该 条 流 的 流量 的 约束 条 件 再 
将 其 发 送出 去 。 这 样 的 结果 是 流量 不 会 像 最 初 那样 有 很 强 的 突 发 性 ， 而 且 更 容易 预测 ， 例 如 
在 Y.1221 标准 中 建议 使 用 漏 桶 / 令 牌 桶 来 进行 流量 整形 。 一 般 来 说 ， 流 量 整形 的 功能 都 是 
在 网 络 边缘 的 入 口 处 完成 。 

拥塞 避免 的 目的 是 保证 网 络 负载 不 超过 网 络 的 处 理 能 力 ， 这 样 就 能 使 网 络 性 能 处 于 可 接受 
的 水 平 ， 其 更 为 具体 的 目标 是 避免 排队 时 延 过 大 以 及 网 络 由 于 拥塞 而 崩溃。 一 个 典型 的 拥塞 避 
免 机 制 是 由 发 送 方 在 发 现 网 络 出 现 (或 即将 出 现 ) 拥塞 信号 后 降低 数据 流 进 入 网 络 的 数量 ， 这 
里 除非 这 个 信号 是 显 式 的 ， 否 则 一 般 用 分 组 丢失 或 定时 器 超时 作为 隐 式 的 网 络 拥塞 信号 。 

流量 监管 判断 逐 跳 的 流量 行为 是 否 遵循 既定 的 策略 或 合同 ， 不 符合 要 求 的 分 组 可 能 会 被 
丢弃 、 拖 延 或 加 上 相应 的 标签 。 例 如 ，ITU-T 的 Y.1221 标准 “IP 网 络 中 的 流量 控制 与 拥塞 
控制 ”就 建议 使 用 令 牌 桶 来 刻画 流量 特征 ， 以 进行 流量 监管 。 

排队 与 调度 算法 是 指 排队 规则 的 算法 ， 用 于 确定 接 下 来 应 发 送 哪个 分 组 ， 并 在 流 之 间 进 
行 传输 带宽 的 分 配 。 排 队 规则 将 在 10.3- 节 具体 介绍 。 

队列 管理 算法 在 必要 或 合适 的 时 候 通 过 丢弃 分 组 来 管理 分 组 的 长 度 ， 主 动 队 列 管理 最 初 
是 为 了 实现 拥塞 避免 。 在 早期 的 因特网 中 ， 队 列 管理 规则 是 在 队列 满 了 的 时 候 将 新 到 达 的 分 
HER, tL AVF (tail drop) WH, 但 RFC 2309“ 因 特 网 队列 管理 和 拥塞 避免 建议 书 ” 指 
出 弃 尾 方法 存在 很 多 缺点 ， 具 体 如 下 : 

1 ) 对 网 络 拥塞 没有 任何 反应 ， 直 至 不 得 不 丢弃 分 组 ， 因 此 更 积极 的 拥塞 避免 算法 可 有 
效 提高 网 络 性 能 。 

2) 队列 会 一 直接 近 占 满 的 状态 ， 这 会 增加 分 组 通过 网 络 的 时 延 ， 而 且 在 出 现 突 发 流量 
时 产生 大 量 的 分 组 丢弃 情况 ， 造 成 许多 分 组 不 得 不 重 传 。 

3 ) 弃 尾 方法 会 使 得 单个 连接 或 少量 流 就 占用 了 所 有 的 队列 空间 ， 使 得 其 他 连接 的 分 组 
无 法 进入 队列 。 

一 个 值得 注意 的 队列 管理 案例 是 在 RFC 2309 中 提出 的 随机 早期 丢弃 (random early 
drop, RED) 方法 ， 该 方法 会 根据 估算 的 平均 队列 长 度 按 概率 丢弃 某 些 到 达 的 分 组 ， 这 个 丢 
弃 概率 会 随 着 估算 的 平均 队列 长 度 的 增加 而 提高 。 当 前 有 许多 RED 改进 版 本 应 用 在 实际 当 
中 ， 其 中 加 权 RED (WRED) 方法 可 能 是 使 用 最 为 广泛 的 。WRED 方法 通过 检测 拥塞 并 在 拥 
塞 出 现 前 减 慢 流 的 传输 (根据 服务 类 别 ) 来 避免 网 络 拥塞 ，WRED 丢弃 选中 的 分 组 后 ， 就 会 
提醒 TCP 的 发 送 方 降低 它 的 发 送 速 率 。 每 种 类 型 的 服务 都 会 获得 不 同 的 权重 ， 这 就 使 得 低 
优先 级 流 的 数据 传输 速率 会 比 高 优先 级 的 流下 降 得 更 快 。 


10.2.2 ”控制 平面 


控制 平面 主要 关注 如 何 为 用 户 的 数据 流 创建 和 管理 传输 路 径 ， 具体 包 括 准 入 控制 、QoS 
路 由 和 资源 预 留 。 

准 入 控制 主要 判断 用 户 的 数据 流 是 否 能 进入 网 络 ， 这 通常 由 数据 流 的 QoS 需求 和 当前 网 
络 的 资源 投入 决定 。 但 是 除了 根据 可 用 资源 情况 来 确定 是 否 允许 某 个 QoS 请 求 以 外 ， 准 人 控 
制 还 有 其 他 方面 的 考虑 。 网 络 管理 员 和 服务 提供 商 必须 能 根据 用 户 和 应 用 的 身份 、 流 量 / 带 
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宽 需 求 、 安 全 性 考虑 和 时 间 段 信息 等 策略 标准 来 对 网 络 资源 和 服务 的 使 用 情况 进行 监视 和 控 
制 。RFC 2753“ 一 种 基于 策略 的 准 入 控制 框架 ”对 这 些 与 策略 相关 的 问题 进行 了 讨论 。 

QoS 路 由 确定 能 够 满足 流 QoS 需求 的 网 络 路 径 ， 它 与 传统 的 路 由 选择 协议 设计 原则 不 
同 ， 传 统 的 路 由 协议 都 是 沿 着 网 络 寻找 一 条 开销 最 少 的 路 径 。RFC 2386“ 因 特 网 中 一 种 基 
于 QoS 的 路 由 框架 ”对 QoS 路 由 的 相关 问题 进行 了 介绍 ， 这 是 一 个 目前 仍 在 研究 的 课题 。 

一 个 QoS 路 由 的 例子 是 思科 公司 的 性 能 路 由 (Performance Routing, PfR), PIR 对 网 络 性 能 
进行 监视 ,并 根据 可 达 性 、 时 延 、 时 延 拌 动 和 丢 包 等 提前 确定 好 的 标准 来 为 每 种 应 用 选择 最 
好 的 路 径 ，PfR 还 能 使 用 先进 的 负载 均衡 技术 分 发 流量 从 而 实现 较为 均等 的 链 路 利用 率 。 

资源 预 留 是 为 对 网 络 性 能 有 要 求 的 流 按 需 预 留 网 络 资源 的 机 制 ， 一 个 典型 的 代表 是 资源 
预 留 协议 (Resource Reservation Protocol, RSVP)。 然 而 ， 这 种 方法 的 扩展 性 并 不 好 ， 因 此 
目前 并 未 得 到 广泛 使 用 。 


10.2.3 ”管理 平面 


管理 平面 包含 会 对 控制 平面 和 数据 平面 机 制 产生 影响 的 机 制 ， 它 主要 解决 网 络 的 运行 
管理 等 相关 问题 ， 具 体 包括 服务 等 级 约定 、 流 量 修复 、 流 量 计量 与 记录 、 策 略 。 

服务 等 级 约定 (SLA) 通常 指 客户 和 服务 提供 商 之 间 的 约定 ， 该 约定 指定 服务 在 可 用 性 、 
服务 能 力 、 性 能 、 操 作 及 其 他 相关 方面 应 达到 的 水 平 。 我 们 将 会 在 10.5 节 对 LSA 做 更 为 详 
细 的 介绍 。 

流量 计量 与 记录 主要 监视 流量 的 一 些 动态 属性 ， 这 些 属 性 通过 数据 传输 速率 、 丢 包 率 等 
性 能 测度 来 描述 。 流 量 计量 与 记录 包括 在 一 个 特定 的 网 络 结 点 观测 流量 特征 ， 并 收集 和 存储 
这 些 流 量 信 息 以 作 后 续 的 分 析 和 处 理 。 根 据 一 致 性 等 级 ,流量 计量 还 可 以 对 分 组 流 触发 一 些 
必要 的 操作 (例如 丢 包 或 流量 整形 )。10.6 节 将 进一步 介绍 相关 的 性 能 指标 类 型 。 

流量 修复 主要 与 网 络 如 何 响应 故障 的 内 容 相关 ， 它 包括 许多 协议 层次 和 技术 。 

策略 是 一 组 对 网 络 资源 访问 进行 管理 和 控制 相关 的 规则 ， 这 些 规则 可 以 明确 描述 服务 提 
供 商 的 需求 或 反映 客户 与 服务 提供 商 之 间 的 约定 ， 具 体 的 约定 可 以 包括 在 一 段 时 间 内 的 可 靠 
性 、 可 用 性 需求 ， 以 及 其 他 QoS 需求 。 


10.3 ”集成 服务 体系 结构 


为 了 对 各 种 基于 :QoS 的 服务 的 需求 进行 定义 ，IETF 在 集成 服务 体系 结构 CISA) 下 制定 
了 一 整套 标准 。RFC 1633 文档 定义 了 ISA 的 总 体 框架 ， 它 尝试 在 IP 网 络 上 提供 有 QoS 保 
证 的 传输 服务 ， 而 其 协议 细节 则 由 许多 其 他 文档 制定 。 虽 然 ISA 并 没有 在 现 有 的 产品 中 实 
现 ， 但 是 它 的 各 种 原则 得 到 了 广泛 使 用 ， 而 且 ISA 还 提供 了 一 种 很 方便 的 结构 来 讨论 保证 
QoS 的 各 种 机 制 。 


10.3.1 ISA 方法 


ISA 的 目的 是 在 IP 网 络 中 提供 QoS 保证 ， 而 ISA 的 核心 设计 问题 是 如 何在 网 络 拥塞 的 
时 候 共享 可 用 的 网 络 资源 。 

对 于 只 能 提供 尽力 而 为 服务 的 因特网 来 说 ， 能 控制 拥塞 和 提供 服务 的 工具 是 有 限 的 ， 实 
际 上 ， 路 由 器 主要 采用 以 下 两 种 机 制 来 工作 。 

© 路 由 算法 : 在 互联 网 中 使 用 的 路 由 协议 允许 以 最 小 时 延 作为 路 由 选择 的 指标 ， 路 由 
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器 之 间 通 过 交互 信息 来 获取 整个 因特网 的 时 延 分布 图 ， 最 小 时 延 路 由 算法 有 利于 实 
现 负载 均衡 ， 从 而 降低 本 地 拥塞 状况 ， 并 减少 单条 TCP 连接 的 时 延 。 此 外 ， 接 口 的 
数据 传输 速率 也 可 以 作为 路 由 选择 的 指标 。 

e 分 组 丢弃 : 当 一 个 路 由 器 的 缓存 溢出 时 ， 它 将 丢弃 后 续 的 分 组 。 通 常 来 说 ， 最 新 到 

达 的 分 组 会 被 丢弃 ，TCP 连接 出 现 丢 包 的 后 果 是 发 送 端 将 会 回 退 它 的 发 送 窗口 大 小 ， 
降低 发 送 负载 ， 从 而 协助 网 络 消除 拥塞 。 

这 些 设备 都 能 较 好 地 工作 ,但 是 正如 本 书 2.1 节 中 所 介绍 的 ， 它 们 已 经 不 能 满足 现在 互 
联网 各 种 各 样 流量 的 需求 了 。 

EISA 中 ， 每 个 IP 分 组 会 关联 到 一 条 流 上 ， 这 里 的 流 是 全 局 可 区 分 的 ， 与 该 条 流 相 关 
联 的 所 有 分 组 都 源 自 于 某 个 用 户 的 行为 ， 而 且 它 们 的 QoS 需求 也 相同 。 举 个 例子 ， 一 条 流 
可 能 包含 某 条 连接 特定 方向 上 的 流量 或 者 一 条 可 被 ISA 区 分 的 视频 流 。 流 与 TCP 连接 在 两 
个 方面 存在 不 同 : 流 是 单 向 的 ， 而 且 流 的 接收 方 (在 多 播 情况 下 ) 可 以 是 多 个 成 员 。 通 常 来 
Bi, IP 分 组 在 标识 为 某 条 流 的 成 员 时 主要 基于 源 / 目的 耳 地 址 、 源 / 目的 端口 号 和 运输 层 协 
议 类 型 ， 而 在 IPv6 中 ， 分 组 首部 中 的 流标 识 符 不 一 定 等 价 于 ISA 流 ， 但 是 IPv6 的 流标 识 符 
将 来 可 以 用 于 ISA 中 。 

ISA 利用 下 述 机 制 来 管理 拥塞 并 提供 有 QoS 保证 的 传输 。 

© 准 入 控制 : 对 于 有 QoS 保证 的 传输 来 说 (而 不 是 默认 的 尽力 而 为 传输 )，ISA 要 求 对 

新 到 达 的 流 进 行 资 源 预 留 。 如 果 路 由 器 确定 没有 足够 的 资源 来 保证 流 的 QoS 需求 ， 
该 流 就 会 被 禁止 进入 。RSVP 协议 就 是 用 于 资源 预 留 的 。 

e 路 由 算法 : 路 由 决策 可 以 基于 各 种 QoS 参数 而 不 仅仅 是 最 小 时 延 来 确定 。 

o 排队 规则 : ISA 的 一 个 重要 方面 就 是 高 效 的 排队 策略 ， 它 主要 解决 不 同 流 的 不 同 需求 

问题 。 

© 丢弃 策略 : 丢弃 策略 在 绥 存 已 满 而 还 有 新 分 组 到 达 时 决定 哪个 分 组 应 当 被 丢弃 ， 丢 

弃 策略 对 于 管理 拥塞 以 满足 QoS 需求 非常 重要 。 


10.3.2 ISA 组 件 


图 10-2 是 在 一 个 路 由 器 中 实现 ISA 体系 结构 的 概略 图 。 在 水 平 线 之 下 是 路 由 器 的 转发 
功能 ， 它 们 对 每 个 分 组 执行 相关 操作 ， 已 经 得 到 了 高 度 优化 ， 而 在 水 平 线 之 上 余下 的 功能 都 
是 一 些 后 台 功 能 ， 它 们 为 转发 功能 创建 数据 结构 。 因 此 ， 图 10-2 中 下 面 的 部 分 大 致 对 应 着 
图 10-1 中 的 数据 平面 ， 而 上 面 的 部 分 则 对 应 着 控制 平面 。 

主要 的 后 台 功 能 描述 如 下 。 

e MEHR: 该 协议 为 新 流 预 留 对 应 QoS 级 别 的 资源 ， 它 主要 用 于 路 由 器 之 间 以 及 路 

由 器 和 端 系 统 之 间 。 预 留 协 议 负 责 在 端 系 统 以 及 流传 输 路 径 上 的 路 由 器 处 维护 流 状 
态 信息 ，RSVP 协议 就 是 用 于 这 种 目的 ， 预 留 协议 会 对 流量 控制 数据 库 进 行 更 新 ， 以 
协助 分 组 调度 器 确定 为 各 个 分 组 应 当 提供 何 种 服务 。 
。 准 入 控制 : 当 一 条 新 流 请 求 传输 时 ， 预 留 协议 会 触发 准 人 控制 功能 ， 该 功能 确定 是 
否 有 足够 的 资源 提供 给 新 流 ， 以 满足 其 QoS 需求 。 判 定 方法 基于 当前 给 其 他 流 预 贸 
的 资源 情况 或 当前 网 络 的 负载 。 

© 管理 代理 : 网 络 管理 代理 可 以 修改 流量 控制 数据 库 ， 并 引导 准 入 控制 模块 设置 相应 
的 准 入 控制 策略 。 
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o 路 由 协议 : 路 由 协议 负责 维护 路 由 信息 数据 库 ， 该 数据 库 为 每 个 目的 地 址 和 每 条 流 
指定 下 一 跳 。 





10-2 路 由 器 中 综合 服务 体系 结构 的 具体 实现 


这 些 后 台 功 能 支撑 着 路 由 器 的 主要 工作 ， 也 即 分 组 的 转发 ， 而 完成 转发 的 两 个 主要 功能 
域 如 下 。 

e 分 类 器 和 路 由 选择 : 为 了 实现 转发 和 流量 控制 ， 到 达 的 分 组 必须 映射 到 具体 的 类 别 
上 ， 每 个 类 别 可 以 对 应 单条 流 或 者 具有 相同 QoS 需求 的 一 组 流 。 例 如 ， 所 有 视频 流 
的 分 组 或 者 所 有 属于 特定 组 织 的 分 组 在 资源 分 配 和 排队 管理 时 会 得 到 相同 的 处 理 。 
类 别 的 选择 是 根据 IP 首部 字段 进行 的 ， 而 通过 分 组 的 类 别 及 其 目的 IP 地 址 ， 该 功能 
模块 就 能 确定 分 组 的 下 一 跳 地 址 。 

e 分 组 调度 器 : 该 功能 对 每 个 输出 端口 的 一 个 或 多 个 队列 进行 管理 ， 它 决定 了 分 组 在 
队列 中 排队 的 次 序 ， 以 及 哪些 分 组 在 必要 的 时 候 应 当 被 丢弃 。 具 体 的 决策 是 基于 分 
组 所 属 的 类 别 、 流 量 控制 数据 库 的 内 容 以 及 当前 和 过 去 该 输出 端口 的 状况 来 完成 的 。 
分 组 调度 器 还 有 一 部 分 工作 是 流量 监管 ， 它 判断 给 定 流 的 分 组 是 否 超过 了 其 请 求 的 
带宽 ， 如 果 是 ， 还 要 确定 如 何 对 这 些 超 出 的 分 组 进行 处 理 。 


10.3.3 ISA 服务 


一 条 分 组 流 的 ISA 服务 通过 两 个 层面 来 确定 ， 一 是 提供 一 些 普 遍 的 类 别 ， 每 个 类 别 都 对 
应 特定 类 型 的 服务 保证 ， 二 是 在 每 个 类 别 中 ， 特 定 流 的 服务 根据 特定 参数 的 值 来 指派 ， 这 些 
参数 值 称 为 流量 规范 (TSpec)。 总 共有 下 列 三 类 服务 已 经 得 到 定义 : 

© 有 保证 的 服务 

© 可 控 负 载 服务 

e 尽力 而 为 服务 

应 用 可 以 通过 TSpec 定义 好 的 具体 服务 需求 来 为 某 条 流 请 求 有 保证 的 或 可 控 负 载 QoS 
资源 预 留 。 如 果 预 留 请 求 得 到 批准 ， 那 么 TSpec 就 属于 数据 流 和 服务 之 间 合 同 的 一 部 分 ， 而 
只 要 数据 流 继续 用 TSpec 描述 ， 那 么 服务 会 为 其 提供 所 需 的 QoS。 不 属于 有 资源 预 留 流 的 
分 组 在 默认 情况 下 得 到 的 是 尽力 而 为 的 传输 服务 。 
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有 保证 的 服务 

有 保证 的 服务 有 以 下 几 个 关键 要 素 : 

© 该 服务 提供 有 保证 的 带宽 容量 或 数据 传输 速率 。 

e 队列 穿越 网 络 的 时 延 会 有 一 个 上 限 ， 该 上 限 值 加 上 传播 时 延 就 是 分 组 通过 网 络 的 总 

体 时 延 。 

e 没有 队列 丢 包 情况 ， 也 就 是 说 没有 分 组 因为 缓存 溢出 而 丢失 ,分 组 只 可 能 由 于 网 络 

故障 或 路 由 路 径 变 化 而 产生 丢 包 。 

有 了 这 种 服务 ， 应 用 就 可 以 提供 它 所 期 望 流量 简 档 的 特征 描述 ， 而 且 服 务 也 能 够 确定 它 
能 保证 的 端 到 端 时 延 。 

需要 这 种 服务 的 一 类 应 用 是 那些 对 时 延 上 限 有 要 求 的 应 用 ,这样 缓存 就 能 用 于 到 达 数 据 
的 实时 重 放 ， 而 且 不 需要 应 对 由 于 输出 质量 下 降 而 导致 的 丢 包 。 另 一 个 例子 是 有 严格 时 间 期 
限 的 实时 类 应 用 。 

有 保证 的 服务 是 ISA 所 提供 的 需求 最 高 的 服务 ， 因 为 它 的 时 延 上 限 是 确定 的 ， 可 以 通过 
设置 较 大 的 时 延 值 来 解决 极 少 出 现 的 有 很 大 排队 时 延 的 情况 。 

可 控 负 载 服务 

可 控 负 载 服务 有 以 下 几 个 关键 要 素 : 

© 在 无 负载 的 网 络 环境 下 ， 这 种 服务 为 应 用 提供 了 近似 尽力 而 为 的 服务 。 

o 分 组 在 通过 网 络 时 无 法 保证 指定 的 排队 时 延 上 限 ， 但 是 这 种 服务 能 保证 大 部 分 分 组 

的 时 延 不 会 远 超 最 小 传输 时 延 (也 就 是 传播 时 间 和 路 由 器 处 理 时 延 之 和 ， 但 不 包括 排 
队 时 延 )。 

e 大 部 分 分 组 能 够 顺利 到 达 目 的 地 (也 即 几 乎 不 会 出 现 排队 丢 包 )。 

正如 前 文 所 述 ， 因 特 网 为 实时 类 应 用 提供 QoS 保证 的 风险 在 于 只 需要 尽力 而 为 服务 的 
流量 会 被 挤 出 网 络 ， 因 为 这 些 流 量 通常 会 被 指派 一 个 非常 低 的 优先 级 ， 这 就 使 得 它们 在 网 络 
拥塞 时 传输 会 受到 限制 。 可 控 负 载 服务 能 保证 网 络 保持 有 充足 的 资源 ， 使 得 得 到 这 种 服务 的 
应 用 在 网 络 中 就 像 没 有 实时 类 应 用 来 抢夺 网 络 资源 一 样 。 

可 控 负 载 服务 对 于 自 适应 的 实时 类 应 用 非常 有 用 ， 这 些 应 用 不 需要 知道 穿越 网 络 所 需 时 
延 上 限 的 先 验 知识 ， 接 收 端 可 以 通过 到 达 的 分 组 来 测量 时 延 拌 动 ， 然 后 设置 最 小 时 延 作为 重 
放 点 ， 这 时 只 会 出 现 非常 低 的 丢 包 率 (例如 ， 视 频 可 以 自 适 应 地 丢弃 某 些 帧 或 轻微 地 推迟 播 
放 时 间 ， 音 频 可 以 自 适应 地 调整 静默 期 )。 


10.3.4 排队 规则 


ISA 的 实现 中 一 个 很 重要 的 部 分 是 路 由 器 的 排队 规则 ， 最 简单 的 方法 是 在 每 个 路 由 器 输 
出 端口 采取 先进 先 出 (FIFO) 排队 规则 ， 而 每 个 输出 端口 都 维护 一 个 队列 。 当 一 个 新 的 分 组 
到 达 并 路 由 到 输出 端口 时 ， 它 会 被 放置 在 队列 的 最 后 ， 只 要 队列 不 为 空 ， 路 由 器 都 会 选择 最 
早 到 达 的 分 组 进行 传输 。 
FIFO 排队 规则 有 以 下 几 方 面 的 缺点 : 
e 无 法 为 具有 较 高 优先 级 或 时 延 敏感 的 流 提供 特殊 处 理 ， 当 某 些 来 自 不 同 流 的 分 组 等 
待 转发 时 ， 它 们 会 严格 按照 FIFO 顺序 进行 调度 。 
o 当 某 些 短 分 组 排 在 一 个 长 分 组 的 后 面 时 ，FIFO 调度 方式 会 比 先 调度 短 分 组 的 方式 增 
加 每 个 分 组 的 平均 时 延 。 一 般 来 说 ， 分 组 更 大 的 流 会 得 到 更 好 的 服务 。 


186 BORD APERMEXLBRK 


o 一 条 自私 的 TCP 连接 会 忽视 TCP 拥塞 控制 规则 ， 从 而 将 其 他 遵循 该 规则 的 TCP 连 
接 挤 出 链 路 。 当 拥塞 出 现 而 一 条 TCP 连接 不 能 回 退 时 ， 其 他 与 其 有 部 分 相同 路 径 的 
连接 不 得 不 回 退 得 比 之 前 更 多 。 

为 了 克服 FIFO 排队 规则 的 缺点 ， 许 多 更 为 复杂 的 路 由 算法 在 路 由 器 中 实现 了 ， 这 些 算 
法 包括 在 每 个 输出 端口 使 用 多 个 队列 以 及 某 些 能 区 分 流量 的 方法 来 提供 更 好 的 服务 ， 典 型 
的 网 络 产品 是 思科 公司 的 路 由 器 ， 在 这 些 路 由 器 中 ， 除 了 FIFO 之 外 还 提供 以 下 几 种 排队 方 
法 ， 这 些 方法 在 思科 网 络 互 联 技术 手册 [CISC15] 中 都 有 详细 介绍 : 

e 优先 队列 (priority queuing, PQ) 

e 自 定义 排队 (custom queuing, CQ) 

o 基于 流 的 加 权 公 平 排队 (WFQ) 

o 基于 类 别 的 加 权 公 平 排 队 (CBWFQ) 

在 优先 队列 ( priority queuing) 中 ， 每 个 分 组 都 被 指定 一 个 优先 级 ， 而 且 每 个 优先 级 都 
有 一 个 相应 的 队列 。 思 科 的 实现 方案 总 共有 四 个 级 别 ， 分 别 是 高 、 中 、 普通 和 低 。 在 默认 情 
况 下 ， 分 组 会 指派 为 普通 类 型 的 优先 级 。PQ 可 以 根据 网 络 协议 、 输 入 端口 、 分 组 大 小 、 源 / 
目的 地 址 或 其 他 参数 灵活 地 设置 优先 级 别 ， 队 列 规则 完全 遵循 分 组 的 优先 级 ， 因 此 ， 多 个 队 
列 都 有 分 组 在 等 待 时 ， 路 由 器 会 从 优先 级 最 高 的 队列 开始 ， 如 果 队 列 不 为 空 ， 则 以 FIFO 的 
方式 调度 该 队列 中 的 分 组 ， 只 有 当 更 高 优先 级 的 队列 为 空 时 才能 选择 下 一 个 优先 级 的 队列 
进行 调度 。 当 新 的 分 组 到 达 更 高 优先 级 队列 时 ， 它 们 会 立即 排 在 低 优 先 级 队列 分 组 的 前 面 。 
PQ 对 于 确保 重要 应 用 流量 得 到 及 时 处 理 非常 有 效 ， 但 是 这 种 队列 调度 方法 可 能 导致 低 优先 
级 队列 中 的 流量 在 很 长 时 间 内 都 无 法 得 到 传输 。 

自 定 义 排队 ( custom queuing) 的 设计 目的 是 让 不 同 应 用 和 组 织 能 够 以 指定 的 最 小 吞吐 
量 或 时 延 需求 来 共享 网 络 。 在 CQ 中 有 多 个 队列 ， 每 个 队列 都 配置 了 字 节 计数 器 ， 各 个 队列 
轮流 得 到 调度 。 当 轮 到 一 个 队列 开始 发 送 分 组 时 ， 它 所 发 送 的 分 组 数 等 于 之 前 设 定 的 字 节 计 
数 器 ， 通 过 为 不 同 的 队列 设置 不 同 的 字 节 计数 器 ， 每 个 队列 中 的 流量 都 能 确保 得 到 一 个 最 小 
比例 的 带宽 ， 因 此 可 以 将 各 种 应 用 或 协议 的 流量 指派 到 对 应 的 队列 中 。 

剩 下 的 两 种 队列 调度 算法 都 是 基于 公平 排队 机 制 。 在 最 简单 的 公平 队列 中 ， 每 个 分 组 都 
会 被 置 于 它 所 属 流 所 在 的 队列 ， 各 个 队列 轮流 得 到 调度 ， 一 个 非 空 的 队列 发 送 完 一 个 分 组 后 
会 转 到 下 一 个 非 空 的 队列 。 如 果 队 列 为 空 ， 则 会 直接 跳 过 。 这 种 机 制 对 所 有 流 都 是 公平 的 ， 
每 条 流 都 会 在 一 个 周期 内 发 送 一 个 分 组 ， 而 且 不 同 流 之 间 还 会 实现 某 种 形式 的 负载 均衡 。 这 
种 调度 方式 对 于 贪 楚 的 流 来 说 没有 优势 ， 因 为 这 些 流 所 在 的 队列 会 变 得 很 长 ， 这 就 增加 了 它 
们 的 时 延 ， 而 其 他 流 则 不 会 受到 影响 。 

加 权 公平 排队 ( WFQ) 这 一 术语 用 于 某 类 特定 的 调度 算法 ， 这 类 算法 使 用 多 个 队列 以 文 
持 资源 分 配 和 时 延 上 限 。 某 些 WFQ 机 制 考 虑 了 各 个 队列 流量 的 总 量 ， 并 给 予 更 忙 的 队列 以 
更 多 的 资源 ,但 同时 并 不 完全 剥夺 非 忙 队列 的 资源 。WFQ 还 可 以 以 各 条 流 的 服务 请 求 次 数 
作为 度量 来 对 排队 规则 进行 相应 的 调整 。 

基于 流 的 WFQ 也 被 思科 简称 为 WFQ， 它 根据 分 组 的 某 些 特征 来 创建 流 ， 这 些 特征 包 
括 源 和 目的 地 址 、 套 接 字 号 、 会 话 ID 等 。 各 条 流 根据 其 IP 优先 级 位 来 获得 不 同 的 权重 ， 这 
样 就 能 为 特定 的 队列 提供 更 好 的 服务 。 

HEF ARIA WFQ ( CBWFQ) 人 允许 网 络 管理 员 创建 最 小 带宽 保证 类 ， 这 里 的 类 别 可 以 包 
括 一 条 或 多 条 流 ， 而 不 用 为 每 条 流 建立 一 个 队列 ， 每 个 类 别 都 可 以 获得 一 个 最 小 的 带宽 保证 。 
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10.4 区 分 服务 


区 分 服务 (DifferServ) 由 RFC 2475 定义 ， 它 用 于 提供 一 个 简单 、 易 于 实现 、 低 开销 的 

方法 来 支持 一 系列 网 络 服务 ， 这 些 服务 在 性 能 上 是 有 所 区 分 的 。 

DiffServ 的 一 些 关键 特性 保证 了 它 的 效率 和 易 部 署 性 : 

o IP 分 组 使 用 现 有 IPv4 或 IPv6 的 DS 字段 进行 标记 ， 从 而 得 到 不 同等 级 的 QoS 人 处理， 
因此 不 需要 对 IP 协议 进行 修改 。 

© 服务 等 级 规范 (service level specification, SLS) 建立 在 服务 提供 商 和 用 户 之 间 ( 因 特 
网 域 )， 在 使 用 DiffServ 之 前 确定 ， 这 就 不 需要 将 DiffServ 机 制 集成 到 应 用 程序 ， 因 
此 现 有 应 用 程序 可 以 不 用 修改 而 直接 使 用 DiffServ。SLS 实际 上 是 一 组 参数 及 其 具体 
值 ， 它 们 共同 定义 Diffserv 域 提供 给 流量 的 服务 。 

© 流量 调节 规范 (traffic conditioning specification, TCS) 是 SLS 的 一 部 分 ， 用 于 指定 流 
量 分 类 器 规则 和 其 他 相应 的 流量 特征 与 计量 、 标 记 、 丢 弃 / 整 形 规 则 ， 并 应 用 在 网 络 
流量 中 。 

e DiffServ 提供 了 内 舱 的 聚合 机 制 ， 所 有 具有 相同 DiffServ 字 节 的 流量 会 得 到 相同 的 网 
络 服务 。 例 如 多 个 话音 连接 不 会 单独 处 理 ， 而 是 以 聚合 的 形式 得 到 服务 ， 这 就 保证 
了 很 好 的 扩展 性 ， 以 将 DiffServ 推广 到 规模 更 大 的 网 络 和 流量 负载 更 多 的 环境 中 。 

e DiffServ 基于 DiffServ 字段 实现 ， 路 由 器 会 根据 该 字段 来 对 分 组 进行 相应 的 排队 和 转 
发 处 理 ， 路 由 器 对 每 个 分 组 进行 处 理 时 都 是 独立 的 ， 不 会 保存 分 组 流 的 状态 信息 。 

HE, DiffServ 已 经 成 为 企业 网 中 受到 广泛 认可 的 QoS 机 制 。 

尽管 DiffServ 试图 通过 一 些 相 对 简单 的 机 制 来 提供 一 些 简单 的 服务 , 但 是 与 DiffServ 

相关 的 REC 规范 却 比 较 复杂 ， 表 10-1 从 这 些 规范 中 总 结 出 一 些 关 键 性 的 术语 和 定义 。 
表 10-1 区 分 服务 中 的 术语 


术语 定义 
行为 聚合 某 条 链 路 沿 特定 方向 上 的 一 组 有 相同 DiffServ 代码 点 的 分 组 
分 类 器 根据 DS 字段 (BA 分 类 器 ) 或 分 组 首部 的 多 个 字段 (MF 分 类 器 ) 来 选择 分 组 
DiffServ 边界 结 点 某 个 DiffServ 域 中 与 男 一 个 DiffServ 域 相连 的 DiffServ 结 点 
DS 字段 IPv4 的 TOS 字段 中 的 低 6 位 比特 或 IPv6 中 的 流量 类 别 字段 
DiffServ 代码 点 DS 字段 中 的 代码 值 
Diei 一 组 相 邻 《相连 ) 的 结 点 ， 它 们 能 实现 区 分 服务 ， 在 实现 区 分 服务 时 会 结合 一 组 
置 备 策略 和 逐 跳 行为 的 定义 
DiffSery 内 部 结 点 指 非 DiffServ 边界 结 点 的 DiffServ 结 点 
Dianan 支持 区 分 服务 的 结 点 。 通 常 来 说 ，DiffServ 结 点 都 是 路 由 器 ,但 能 为 主机 内 的 应 


用 程序 提供 区 分 服务 的 主机 系统 也 是 DiffServ 结 点 
Ff 根据 特定 规则 丢弃 分 组 的 过 程 ， 也 称 为 监管 

对 分 组 中 的 DiffServ 代码 点 进行 设置 的 过 程 ， 分 组 可 以 标记 一 个 初始 值 ， 然 后 可 
能 被 人 口 路 由 器 DiffServ 结 点 重新 标记 为 一 个 新 值 

对 分 类 器 分 类 好 的 分 组 流 在 时 间 上 的 某 些 属性 〈 例 如 速率 ) 进行 测量 的 过 程 ， 这 
个 过 程 的 即时 状态 可 能 会 影响 标记 、 整 形 和 丢弃 等 功能 


标记 
计量 
oo (per-hop behavior, | “可 从 外 部 观测 到 的 应 用 在 结 点 到 行为 聚合 的 转发 行为 


服务 等 级 约定 (SLA) 客户 和 服务 提供 商 之 间 的 服务 合同 ， 其 中 详细 说 明了 客户 应 当 得 到 的 转发 服务 
整形 对 分 组 流 中 的 分 组 进行 延迟 发 送 的 过 程 ， 它 能 使 分 组 流 遵 循 某 些 特定 的 流量 特征 
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( 续 ) 
术语 
流量 调节 用 于 完成 某 些 TCA 指定 规则 的 控制 功能 ， 包 括 计量 、 标 记 、 整 形 和 丢弃 等 


流量 调节 约定 (traffic 详细 说 明了 分 类 规则 和 流量 调节 规则 的 约定 ， 这 些 规则 可 以 通过 分 类 器 应 用 到 分 
conditioning agreement, TCA) | 组 上 


定义 





10.4.1 服务 


DiffServ 域内 会 提供 各 种 类 型 的 DiffServ 服务 ， 这 里 的 DiffServ 域 是 指 在 因特网 中 提供 
相同 DiffServ 策略 的 连续 区 域 。 通 常 来 说 ,一 个 DiffServ 域 由 一 个 管理 实体 进行 管理 控制 ， 
而 跨 DiffServ 域 的 服务 则 通过 SLA 来 定义 。SLA 是 客户 和 服务 提供 商 之 间 就 客户 应 当 得 到 
不 同类 别 转发 服务 而 达成 的 约定 ， 这 里 的 客户 可 以 是 一 个 用 户 机 构 或 者 男 一 个 DiffServ 域 。 
— H SLA 确定 之 后 ， 客 户 就 可 以 发 送 DiffServ 字段 中 标记 了 相应 类 别 的 分 组 ， 而 服务 提供 
商 必须 保证 客户 至 少 能 够 得 到 约定 好 的 QoS。 为 了 提供 QoS， 服 务 提供 商 必须 在 每 台 路 由 器 
上 (基于 DiffServ 字段 的 值 ) 配置 合适 的 转发 策略 ， 而 且 还 要 持续 测量 每 类 分 组 的 性 能 。 

如 果 客 户 所 发 送 分 组 的 目的 地 位 于 DiffServ MA, DiffServ 域 就 会 提供 约定 好 的 服务 ， 
而 如 果 目 的 地 不 在 客户 的 DiffServ MR, DiffServ 域 就 会 转发 分 组 穿 过 其 他 域 ， 并 要 求 最 合适 
的 服务 以 满足 客户 所 需 的 服务 。 

DiffServ 框架 文档 列 出 了 下 列 SLA 中 应 当 包括 的 具体 性 能 参数 : 

o 详细 的 服务 性 能 参数 ， 例 如 期 望 的 吞吐 量 、 丢 包 率 、 时 延 。 

e 提供 服务 的 入 口 点 和 出 口 点 的 限制 条 件 ， 用 于 表明 所 提供 服务 的 范围 。 

e 为 提供 所 需 服 务必 须 遵 循 的 流量 特征 ， 例 如 令 牌 桶 参数 。 

© 流量 在 超出 约定 条 件 时 的 处 理 方式 。 

该 框架 文档 还 提供 了 几 个 服务 案例 : 

o A 级 服务 能 保证 流量 在 传输 时 有 很 低 的 时 延 。 

B 级 服务 能 保证 流量 在 传输 时 有 很 低 的 丢 包 率 。 

C 级 服务 能 保证 90% 的 流量 在 传输 时 时 延 不 会 超过 50 毫秒 。 
D 级 服务 能 保证 95% 的 流量 能 顺利 完成 传输 。 

E 级 服务 能 保证 流量 获得 的 带宽 是 F 级 服务 所 提供 带宽 的 2 倍 。 
丢 包 优先 级 为 X 的 流量 丢 包 率 要 高 于 丢 包 优先 级 为 Y 的 流量 。 

前 两 个 案例 是 定性 描述 的 ， 而 且 只 有 在 与 其 他 流量 (例如 默认 接受 尽力 而 为 服务 的 流量 ) 
进行 对 比 时 才 有 效 。 第 3 个 案例 和 第 4 个 案例 是 定量 描述 的 ， 能 提供 一 个 特定 的 QoS 保证 ， 
而 且 可 以 在 不 需要 与 其 他 类 型 服务 对 比 的 前 提 下 ， 通 过 测量 实际 的 服务 加 以 验证 。 最 后 两 个 
案例 则 将 定量 和 定性 描述 结合 在 一 起 。 


10.4.2 DiffServ 字段 


分 组 会 通过 IPv4 首部 或 IPv6 首部 的 6 比特 长 度 的 DS 字段 进行 标记 (如 图 10-3 所 示 )， 
以 用 于 得 到 相应 的 服务 处 理 。DS 字段 的 值 也 称 为 DiffServ 代码 点 (DSCP)， 它 用 于 对 分 组 
进行 分 类 以 实现 区 分 服务 。 

有 了 6 比特 长 度 的 代码 点 ， 就 可 以 定义 64 种 不 同类 别 的 流量 。 这 64 个 代码 点 主要 分 为 
三 类 代码 点 池 ， 分 别 是 : 


RIOF MARE 189 





比特 ， 0 4 10 12 16 24 31 


20 字 节 





b) IPv6 首部 


DS 字段 = 区 分 服务 字段 TEE: 8 比特 长 度 的 DS 字 
ECN= 显 式 拥 塞 通告 字段 段 /ECN 在 IPv4 首 部 中 以 前 
是 服务 类 型 字段 ， 在 IPv6 
首部 中 是 流量 类 别 字段 

图 10-3 IP 首 部 


© 形式 为 xxxxx0 的 代码 点 (其 中 x 为 0 或 1) 被 保留 用 于 标准 方式 来 使 用 。 

e 形式 为 xxxx11 的 代码 点 被 保留 用 于 实验 或 本 地 使 用 。 

© 形式 为 xxxx01 的 代码 点 也 被 保留 用 于 实验 或 本 地 使 用 ， 但 是 可 以 根据 需要 分 配给 未 
来 的 标准 。 


10.4.3 DiffServ 的 配置 和 运 维 


图 10-4 显示 了 一 个 在 DiffServ 文档 中 设想 的 配置 场景 ， 图 中 的 DiffServ 域 由 一 些 相连 
的 路 由 器 组 成 ， 因 此 ， 域 内 的 路 由 器 到 路 由 器 之 间 可 以 通过 不 包含 域外 路 由 器 的 路 径 进行 通 
信 。 在 域内 ，DS 代码 点 的 解释 是 统一 的 ， 也 即 相 同 的 代码 点 会 得 到 相同 的 服务 。 

DiffServ 域 里 的 路 由 器 分 为 边界 结 点 或 内 部 结 点 。 通 常 来 说 ， 内 部 结 点 根据 分 组 DS 代 
码 点 的 值 实现 简单 机 制 进行 特定 处 理 ， 包 括 利用 排队 规则 为 某 些 分 组 提供 优先 处 理 服务 ， 利 
用 分 组 丢弃 规则 标记 那些 在 缓存 溢出 时 应 首先 丢弃 的 分 组 。DiffServ 规范 将 路 由 器 提供 的 转 
发 操作 称 为 逐 跳 行为 ( per-hop behavior, PHB), PHB 在 所 有 路 由 器 上 都 必须 是 可 用 的 ， 而 且 
通常 PHB 是 内 部 路 由 器 唯一 实现 的 DiffServ 功能 。 

边界 结 点 不 仅 包括 PHB 机 制 ， 还 采用 了 更 加 复杂 的 流量 调节 机 制 以 提供 用 户 所 期 望 的 
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服务 。 因 此 ， 内 部 路 由 器 在 提供 DiffServ 服务 时 ， 只 包含 最 少 的 功能 和 最 小 的 开销 ， 绝 大 部 
分 复杂 的 功能 都 是 在 边界 结 点 上 实现 的 。 边 界 结 点 的 功能 还 能 由 连接 到 DiffServ 域 的 主机 系 
统 代表 主机 系统 上 的 应 用 来 完成 。 


分 类 
计量 


标识 ”分 类 
整形 丢弃 队列 管理 





图 10-4 DS 域 


流量 调节 功能 包含 以 下 五 个 要 素 。 

。 分 类 器 : 将 到 达 的 分 组 分 为 多 个 类 别 ， 它 是 实现 区 分 服务 的 基础 。 分 类 器 可 以 根据 
DS 代码 点 来 对 流量 进行 分 类 (行为 聚合 分 类 器 )， 也 可 以 根据 分 组 首部 的 多 个 字段 其 
至 分 组 载荷 来 分 类 (多 字段 分 类 器 )。 

。 计量 器 : 测量 提交 的 流量 是 否 遵循 某 种 特征 。 计 量 器 用 于 确定 一 条 给 定 的 分 组 流 类 
别 是 否 超过 了 其 所 属 类 别 的 服务 保证 。 

o 标识 器 : 根据 需要 利用 不 同 的 代码 点 对 分 组 进行 重新 标记 。 这 项 工作 可 以 用 于 那些 超 
出 限额 的 分 组 ， 例 如 某 类 服务 有 特定 的 吞吐 量 保证 ， 在 某 个 时 间 段 超过 了 该 吞吐 量 
的 分 组 就 会 被 重新 加 上 一 个 标识 ， 以 表明 其 只 需 得 到 尽力 而 为 服务 即 可 。 同 样 ， 两 
Ñ DiffServ 域 之 间 的 边界 结 点 也 需要 重新 标记 功能 ， 例 如 某 种 流量 类 别 应 当 接受 最 
高 等 级 的 服务 ， 而 在 一 个 域内 该 值 为 3， 但 是 在 下 一 个 域内 该 值 为 7， 那 么 优先 级 为 
3 的 分 组 在 穿越 了 第 一 个 域 之 后 、 进 入 第 二 个 域 之 前 ， 应 当 将 优先 级 修改 为 7。 

e 整形 器 : 推迟 分 组 的 发 送 有 时 候 也 是 必要 的 ， 这 样 某 种 类 别 的 分 组 流 就 不 会 超过 设 
定 的 流量 速率 。 

e ZAR: 在 某 类 分 组 流 超过 其 设 定 的 速率 时 ， 对 超出 的 部 分 进行 丢弃 。 

图 10-5 显示 了 各 个 流量 调节 要 素 之 间 的 关系 。 在 一 条 流 分 类 之 后 ， 需 要 对 它 的 资源 消耗 
进行 测量 ， 而 计量 功能 对 一 个 给 定时 间 段 内 分 组 的 容量 进行 测量 ， 从 而 判断 一 条 流 是 否 服从 了 
流量 约定 。 如 果 主 机 流量 呈 突 发 性 ， 那么 简单 的 数据 速率 或 分 组 速率 无 法 准确 捕捉 流量 特征 ， 
而 令 牌 桶 (token bucket) 机 制 就 是 一 种 可 以 定义 流量 特征 以 考虑 分 组 速率 和 突 发 性 的 方法 。 


令 牌 桶 ”一 种 数据 流 控制 机 制 ， 它 周期 性 地 向 缓存 ( 桶 ) 中 添加 令 牌 ， 而 只 有 当 桶 中 
Ht MURR ROA ERT, ESE ONE PE 
间隔 的 精确 控制 。 


如 果 一 条 流 超过 了 其 规定 的 流量 特征 ， 可 以 对 其 采用 多 种 方法 。 超 出 的 部 分 可 以 重新 标 
记 ， 赋 予 其 更 低 的 处 理 优先 级 ， 并 允许 它们 进入 DiffServ 域 。 流 量 整形 器 可 以 利用 缓存 容纳 
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突 发 产生 的 分 组 ， 并 在 一 个 较 长 周期 内 调整 其 发 送 速率 ， 而 丢 包 器 则 可 以 在 用 于 调整 分 组 发 ”|284 


送 速率 的 缓存 溢出 时 丢弃 某 些 分 组 。 285 





图 10-5 DS 功能 


10.4.4 BRITA 


DiffServ 是 一 种 通用 的 体系 架构 ， 它 能 够 用 于 实现 多 种 服务 。 作 为 DS 标准 化 的 部 分 工 
作 ， 需 要 定义 具体 类 型 的 PHB， 并 将 其 关联 到 特定 的 区 分 服务 上 。 目 前 有 三 种 主要 的 转发 行 
为 得 到 了 定义 和 提炼 ， 此 外 ， 还 有 一 种 旧 有 的 转发 行为 类 也 得 到 定义 ， 这 四 种 行为 类 别 如 下 : 
o 用 于 弹性 流量 的 默认 转发 (default forwarding, DF) 
© 用 于 通用 QoS 需求 的 确保 转发 (assured forwarding, AF) 
o 用 于 实时 类 ( 非 弹 性 ) 流量 的 快速 转发 (expedited forwarding, EF ) 
e 用 于 传统 的 代码 点 定义 和 PHB 需求 的 类 别 选 择 需 
图 10-6 显示 了 对 应 这 四 种 类 别 的 DSCP 编码 ， 本 节 剩 下 的 内 容 将 依次 介绍 它们 。 286 
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100 ”类别 4- 最 好 ”010 ” 低 - 最 重要 
011 oe 100 中 
j 4 å 5 010 2512 110 ”高 -最 不 重要 
”类 别 选择 器 ”| 0 o “0 | ë oo 类别 
Ai c ) 确保 转发 
g 010 
x 011 
SE 100 。 > 类 别 选择 器 —— 
28) io 
i Aer 


b) 类 别 选择 器 
图 10-6 DiffServ 转发 行为 类 别 和 相应 的 DS 字段 编码 
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10.4.5 ”默认 转发 PHB 


默认 类 别 也 称 为 默认 转发 ( DF)， 它 在 现 有 路 由 器 中 就 是 尽力 而 为 的 转发 行为 。 只 要 链 
路 资源 可 用 ， 分 组 的 转发 就 按照 接收 的 次 序 进行 。 如 果 其 他 DiffServ 类 别 中 有 更 高 级 别 的 分 
组 等 待 传输 ， 那 么 它们 将 会 获得 比 默认 转发 的 尽力 而 为 分 组 更 高 的 优先 权 。 因 特 网 中 使 用 默 
认 转 发 的 应 用 流量 应 当 是 弹性 的 ， 流 量 的 发 送 方 需要 调整 它 的 传输 速率 以 应 对 可 用 速率 、 丢 
包 率 或 时 延 的 变化 。 

快速 转发 PHB 

RFC 3246 将 快速 转发 (EF) PHB 定义 为 DiffServ 域 中 低 丢 包 、 低 时 延 、 低 时 延 拌 动 端 
到 端 服务 的 重要 组 成 部 分 。 本 质 上 来 说 ， 这 种 服务 为 端 结 点 提供 的 性 能 很 接近 点 到 点 连接 或 
租用 线路 。 

在 互联 网 或 分 组 交换 网 中 ， 低 丢 包 、 低 时 延 、 低 时 延 拌 动 的 服务 很 难 实现 。 因 为 互联 网 
中 的 结 点 或 路 由 器 会 有 许多 队列 ， 分 组 会 在 这 些 队 列 中 缓存 以 等 待 使 用 共享 的 输出 链 路 ， 各 
个 结 点 处 的 排队 行为 会 导致 丢 包 、 时 延 和 时 延 抖 动 。 因 此 ， 除 非 互联 网 消除 了 所 有 排队 效 
应 ， 否 则 都 需要 考虑 如 何 对 流量 进行 EF PHB， 以 保证 排队 效应 不 会 导致 丢 包 、 时 延 或 时 延 
抖动 超过 既定 的 阔 值 。RFC 3246 指出 EF PHB 的 目的 是 提供 一 种 PHB， 它 能 使 合理 标记 过 
的 分 组 只 经 历 很 短 或 空 的 队列 ， 这 种 相对 较 少 的 排队 队列 会 使 时 延 和 时 延 拌 动 尽 可 能 最 短 。 
此 外 ， 如 果 队 列 长 度 相 对 于 缓存 空间 来 说 一 直 很 小 的 话 ， 分 组 的 丢 包 率 也 会 保持 得 很 低 。 

对 结 点 进行 EF PHB 配置 后 ， 可 以 让 聚合 流量 (traffic aggregate) 能 有 定义 良好 的 最 小 
离开 速率 (这 里 的 “定义 良好 ” 指 的 是 “与 结 点 的 状态 变化 无 关 ”， 尤 其 是 指 与 结 点 上 其 他 
流量 的 强度 无 关 )。RFC 3246 将 EF PHB 定义 为 : 边界 结 点 对 聚合 流量 进行 控制 ， 从 而 将 其 
某 些 流量 特征 (比如 速率 、 突 发 ) 限制 在 预先 设 定 的 水 平 上 。 内 部 结 点 对 到 达 的 流量 进行 处 
理 的 方法 必须 避免 排队 效应 出 现 ; 用 一 般 的 术语 来 说 ， 内 部 结 点 的 需求 是 聚合 流量 的 最 大 到 
达 速 率 应 当 小 于 聚合 流量 的 最 小 离开 速率 。 

RFC 3246 没有 强制 要 求 在 内 部 结 点 采用 某 种 特定 的 排队 策略 来 实现 EF PHB， 但 该 
RFC 指出 简单 的 优先 权 机 制 加 上 为 EF 流量 赋予 比 其 他 流量 更 高 优先 级 的 方法 即 可 达到 预期 
的 效果 。 只 要 EF 流量 自身 不 会 因为 太 多 而 导致 内 部 结 点 溢出 ， 该 机 制 就 能 产生 让 EF PHB 
可 接受 的 排队 时 延 。 但 是 ， 简 单 的 优先 权 机 制 可 能 会 带 来 其 他 PHB 流量 出 现 传输 中 断 的 风 
险 ， 因 此 需要 采用 其 他 一 些 更 为 复杂 的 排队 策略 。 

确保 转发 PHB 

确保 转发 ( AF) PHB 的 设计 目的 是 提供 一 种 优 于 尽力 而 为 的 服务 ， 同 时 这 种 服务 不 会 
要 求 因 特 网 预 留 资源 ， 也 不 会 要 求 不 同 用 户 的 流 有 很 明显 的 区 别 。AF PHB 的 概念 最 早 是 由 
Clark 和 Fang 在 他 们 的 论文 [CLAR98] 中 提出 来 的 ， 而 且 在 当时 被 称 为 显 式 分 配 。AF PHB 
要 比 显 式 分 配 更 加 复杂 ， 但 是 对 显 式 分 配 机 制 中 的 关键 要 素 进行 说 明 仍 然 是 非常 有 用 的 ， 

o 用 户 可 以 为 他 们 的 流量 选择 服务 类 别 ， 每 种 类 别 在 聚合 数据 速率 和 突 发 性 方面 都 对 

应 着 不 同 的 流量 特征 。 

e 一 种 给 定 类 别 的 用 户 流量 会 在 边界 结 点 被 监测 ， 流 量 中 的 每 个 分 组 都 会 根据 其 是 否 

超出 了 流量 特征 打上 相应 的 标记 。 

e 在 网 络 内 部 ， 不 同 用 户 甚至 是 不 同类 别 的 流量 不 会 被 隔离 开 来 ， 相 反 ， 所 有 流量 都 会 


© 术语 traffic aggregate 是 指 所 有 与 特定 用 户 的 特定 服务 相关 联 的 分 组 流 。 
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放 入 单独 的 分 组 池 来 进行 处 理 ， 唯 一 的 区 别 是 每 个 分 组 都 标记 了 是 否 超 出 其 流量 特征 。 
o 当 拥塞 出 现时 .内 部 结 点 会 进行 丢 包 ， 而 标记 为 超出 流量 特征 的 分 组 会 优先 被 丢弃 。 
e 不 同 的 用 户 会 得 到 不 同 级 别 的 服务 ， 因 为 他 们 在 队列 中 会 有 不 同 数量 的 分 组 标记 未 
超出 流量 特征 。 
这 种 方法 的 优点 是 简单 ， 内 部 结 点 只 需要 做 极 少 的 工作 ， 而 在 边界 结 点 根据 流量 特征 为 
流量 进行 标记 就 能 为 不 同 的 类 别提 供 不 同 水 平 的 服务 。 
RFC 2597 通过 下 列 方式 对 AF PHB 进行 了 扩展 : 
e 定义 了 四 种 AF 类 别 ， 从 而 允许 设 定 四 种 不 同 的 流量 特征 。 用 户 可 以 从 中 选择 一 种 或 
几 种 类 别 来 满足 自己 的 需要 。 
e 在 每 种 类 别 中 ， 分 组 可 以 由 客户 或 服务 提供 商 从 三 种 丢弃 级 别 中 选择 一 个 进行 标记 。 
在 拥塞 时 ， 分 组 的 丢弃 级 别 决 定 了 分 组 在 同一 类 AF 中 的 重要 程度 ， 拥 塞 的 DiffServ 结 
点 会 尽量 保护 丢弃 级 别 更 低 的 分 组 不 出 现 丢 包 ， 而 优先 丢弃 那些 丢弃 级 别 更 高 的 分 组 。 
这 种 方法 比 其 他 所 有 资源 预 留 机 制 更 容易 实现 ， 也 提供 了 不 错 的 灵活 性 。 在 一 个 内 部 
DiffServ 结 点 中 ， 四 种 类 别 的 流量 可 以 分 开 处 理 ， 同 时 分 配 不 同 数量 的 资源 (例如 缓存 空间 、 
数据 速率 ) 给 这 四 种 类 别 ， 而 对 于 相同 类 别 的 分 组 来 说 ， 它 们 的 处 理 方法 根据 丢弃 级 别 来 实 
施 。 因 此 ， 正 如 RFC 2597 中 指出 的 那样 ， 一 个 IP 分 组 的 转发 保证 级 别 取决 于 下 列 因 素 : 
© 有 多 少 转发 资源 分 配给 各 个 分 组 所 属 的 AF 类 别 。 
e 当前 AF 类 别 的 负载 程度 。 
o 当 某 类 AF 出 现 拥塞 时 ， 各 个 分 组 的 丢弃 级 别 。 
RFC 2597 没有 强制 要 求 各 个 内 部 结 点 实现 上 述 任何 机 制 以 对 AF 流量 进行 管理 ， 它 参 
考 了 RED 算法 作为 管理 拥塞 的 可 行 方 法 。 
图 10-6c 显示 了 在 DS 字段 中 建议 用 于 AF PHB 的 代码 点 。 
类 别 选择 器 PHB 
形式 为 xxx000 的 代码 点 被 保留 用 于 为 IPv4 的 优先 权 服 务 提供 后 向 兼容 。IPv4 中 已 经 被 
DS 和 ECN 字段 代替 (如 图 10-3a 所 示 ) 的 服务 类 型 (TOS) 字段 包含 两 个 子 字段 ， 分 别 是 3 
比特 长 的 优先 权 子 字段 和 4 比特 长 的 TOS 子 字段 。 这 两 个 子 字段 互 为 补充 ，TOS 子 字段 能 
够 引导 IP 实体 (在 源 端 或 路 由 器 处 ) 为 数据 报 选择 下 一 跳 ， 而 优先 权 子 字段 指导 路 由 器 应 当 
分 配 多 少 资 源 给 这 个 数据 报 。 
优先 权 字 段 标 明了 数据 报 的 紧迫 性 或 优先 级 程度 ， 如 果 路 由 器 支持 优先 权 子 字段 ， 就 有 
以 下 三 种 方法 对 其 进行 响应 。 
o 路 由 选择 : 如 果 路 由 器 在 某 条 路 由 上 的 排队 更 短 或 者 该 路 由 上 的 下 一 跳 支 持 优先 权 
(例如 令 牌 环 网 络 支持 优先 级 )， 那 么 就 会 选择 该 条 路 由 。 
e 网 络 服务 : 如 果 下 一 跳 的 网 络 支持 优先 权 ， 本 服务 会 被 调用 。 
o 排队 规则 : 路 由 器 可 以 使 用 优先 权 来 影响 队列 的 处 理 ， 例 如 ， 一 个 路 由 器 可 以 对 有 
更 高 优先 级 的 数据 报 进行 优先 处 理 。 
RFC 1812“IPv4 路 由 器 的 需求 ”中 对 排队 规则 提出 了 建议 ， 这 些 规则 可 以 分 为 以 下 两 类 。 
© 排队 服务 : 
路 由 器 应 当 能 提供 优先 权 队 列 服务 ， 该 服务 意味 着 当 一 个 分 组 被 一 条 GE) 链 
路 选中 为 出 口 时 ， 该 分 组 的 优先 权 在 该 条 链 路 上 是 最 高 的 。 
有 些 路 由 器 可 能 会 实现 其 他 基于 策略 的 吞吐 量 管理 方法 ， 这 会 导致 排队 不 遵循 
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严格 的 优先 权 顺 序 ， 这 些 路 由 器 必须 是 可 配置 以 抑制 这 种 情况 的 〈 也 即使 用 严格 的 优 
先 权 排序 )。 

拥塞 控制 。 当 一 个 路 由 器 接收 的 分 组 超出 了 它 的 存储 容量 时 ， 它 必须 丢弃 这 个 分 组 
或 一 些 其 他 的 分 组 : 

路 由 融 可 能 丢弃 它 刚 刚 收 到 的 分 组 ， 这 是 最 简单 但 不 是 最 优 的 策略 。 

在 理想 情况 下 ， 假 定 当 前 的 QoS 策略 允许 ， 路 由 器 应 当 从 占用 链 路 最 多 的 会 话 
之 一 选择 一 个 分 组 丢弃 。 在 使 用 FIFO 排队 规则 的 数据 报 环境 下 ， 一 种 推荐 的 策略 是 
从 队列 中 随机 选择 一 个 分 组 丢弃 ， 而 在 使 用 公平 队列 的 路 由 器 中 ， 一 种 等 效 的 算法 
是 丢弃 最 长 队列 中 的 分 组 。 路 由 顺 可 以 使 用 这 些 算法 来 确定 哪个 分 组 应 当 被 丢弃 。 

如 果 排 队 服务 采用 的 是 优先 权 顺 序 的 方法 ， 那 么 路 由 器 不 能 在 还 有 其 他 级 别 更 
低 分 组 的 情况 下 丢弃 优先 权 更 高 的 分 组 。 

路 由 器 可 以 保护 那些 I 首部 要 求 有 最 高 可 靠 性 服务 类 型 的 分 组 不 被 丢弃 ， 除 非 
这 样 做 会 违反 某 些 预 设 的 规则 。 

路 由 器 可 以 保护 那些 分 片 的 IP 分 组 不 被 丢弃， 因为 从 理论 上 来 说 ， 丢 弃 一 个 数 
据 报 的 任何 分 片 都 会 导致 所 有 分 片 都 重 传 ， 这 会 加 重 网 络 的 拥塞 。 

为 了 防止 出 现 路 由 扰动 或 管理 功能 中 断 ， 路 由 器 会 保护 用 于 路 由 控制 、 链 路 控制 
或 网 络 管理 的 分 组 不 会 被 丢弃 ， 专 用 路 由 器 (这 些 路 由 器 不 是 那些 通用 主机 、 终 端 服 
务 器 等 充当 的 路 由 器 ) 可 以 通过 保护 那些 源 或 目的 地 址 为 路 由 器 自身 地 址 的 分 组 来 近 
似 实现 这 一 规则 要 求 。 

类 别 选 择 器 PHB 在 最 低 情 况 下 可 以 提供 等 价 于 IPv4 优先 权 的 服务 。 


10.5 服务 等 级 约定 


服务 等 级 约定 (SLA) 是 网 络 提供 商 和 客户 之 间 达 成 的 协议 ， 它 定义 了 所 提供 服务 的 详 
细 特 性 ， 这 种 定义 是 正式 的 ， 而 且 通 常 采用 量化 的 阔 值 来 描述 。SLA 通常 包括 以 下 信息 。 
e 所 提供 服务 的 性 质 描 述 : 最 基本 的 服务 是 企业 的 IP 网 络 连通 性 以 及 到 因特网 的 接 人 ， 
这 些 服务 还 可 以 包括 一 些 附加 的 功能 ， 例 如 网 站 代 管 .DNS 服务 器 维护 、 运 维 工作 等 。 
© 服务 所 期 望 的 性 能 水 平 : SLA 定义 了 一 些 测 度 ， 例 如 用 数值 表示 时 延 、 可 靠 性 和 可 
FAVES BAHL. 
e 监视 和 报告 服务 水 平 的 过 程 : 描述 客户 网 络 
了 如 何 对 性 能 水 平 进行 测量 和 报告 。 F (证 
图 10-7 显示 了 一 个 典型 的 SLA 场景 ， it 
在 这 个 场景 中 ， 网 络 服务 提供 商 维护 着 一 
个 IP 网络 ,而 客户 有 一 些 位 于 不 同 地 点 的 
私有 网 络 (例如 局 域 网 )， 这 些 客户 网 络 通 
过 接 入 点 的 路 由 器 连接 到 提供 商 的 网 络 。 
SLA 表明 了 接 人 路 由 器 之 间 的 流量 在 穿越 
提供 商 网 络 时 的 服务 和 性 能 水 平 。 此 外 ， 
提供 商 网 络 与 因特网 相连 ， 从 而 为 企业 提 
供 到 因特网 的 接 人 。 例 如 ，Cogent 通信 公 
司 在 其 骨干 网 提供 的 标准 SLA 包括 以 下 几 图 10-7 服务 等 级 约定 的 典型 框架 
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个 方面 : 

e 可 用 性 : 100% 可 用 。 

o 时 延 (延迟 ): Cogent 网 络 上 各 个 地 域 骨干 结 点 之 间 的 分 组 每 月 平均 时 延 具 体 如 下 。 

北美 内 部 : 不 超过 45 毫秒 

欧洲 内 部 : 不 超过 35 毫秒 

纽约 到 伦敦 ( 跨 大 西洋 ): 不 超过 85 毫秒 

洛杉矶 到 东京 (路 太平 洋 ): 不 超过 120 毫秒 

网 络 时 延 (或 往返 时 延 ) 的 定义 是 指 IP 分 组 在 Cogent 网 络 的 两 个 地 域 骨干 结 点 之 间 往 
返 所 需 的 平均 时 间 。Cogent 公司 会 在 Cogent 网 络 上 通过 对 骨干 结 点 进行 持续 抽样 从 而 监视 
总 体 时 延 。 

e 网 络 分 组 投递 率 (可 靠 性 ) : 月 平均 分 组 丢 包 率 不 超过 0.1% (或 者 说 成 功 投递 率 达 到 

99.9%)。 分 组 丢 包 率 的 定义 是 指 在 Cogent 网 络 的 骨干 结 点 之 间 被 丢弃 分 组 的 百分比 。 

SLA 可 以 定义 总 体 的 网 络 服务 ， 此 外 ，SLA 还 可 以 定义 跨 运营 商 网 络 的 具体 端 到 端 服 

务 ， 例 如 虚拟 专用 网 或 区 分 服务 。 


10.6 IP 性 能 测度 


IETF 授权 IP 性 能 测度 工作 组 (IPPM) 负责 制定 与 因特网 数据 传输 质量 、 性 能 、 可 靠 性 
相关 的 标准 测度 。 两 种 趋势 要 求 了 制定 这 种 标准 化 测量 机 制 的 必要 性 : 
e 因特网 一 直 以 非常 快 的 速度 在 增长 ， 它 的 拓扑 也 变 得 越 来 越 复杂 。 随 着 因特网 容量 
的 拓展 ， 因 特 网 上 的 负载 以 更 快 的 速度 在 增加 。 类 似 地 ， 私 有 互联 网 (例如 公司 的 内 
联网 和 外 联网 ) 在 网 络 复杂 性 、 容 量 和 负载 方面 也 呈现 出 相似 的 增长 趋势 ， 这 些 网 络 
的 巨大 规模 使 得 确定 网 络 质量 、 性 能 和 可 靠 性 等 特征 非常 困难 。 
e 因特网 为 大 量 且 仍 在 增长 的 商业 和 个 人 用 户 提供 服务 ， 这 些 服务 涵盖 了 广泛 的 应 用 。 
类 似 地 ， 私 有 网 络 在 用 户 基 数 和 应 用 范围 方面 也 在 日 益 增 长 ， 这 其 中 的 某 些 应 用 对 
于 特定 的 QoS 需求 非常 敏感 ， 使 得 用 户 对 一 些 精 确 和 可 理解 的 性 能 测度 提出 了 要 求 。 
一 组 标准 而 有 效 的 测度 能 够 让 用 户 和 服务 提供 商 在 因特网 和 私有 互联 网 的 性 能 方面 达成 
明确 的 共识 ， 测 量 数据 在 很 多 方面 都 是 有 用 的 ， 具 体 包 括 : 
© 支持 大 规模 复杂 互联 网 的 容量 规划 和 故障 定位 。 
。 通过 统一 的 测度 对 比 来 促进 服务 提供 商 之 间 的 竞争 。 
e 支持 在 协议 设计 、 拥 塞 控制 、QoS 等 领域 的 因特网 研究 。 
e 可 以 验证 SLA. 
K 10-2 列 出 了 截至 本 书 撰写 时 REC 所 定义 的 测度 ， 表 10-2a 列 出 的 测度 是 根据 抽样 技 
术 得 到 的 估计 值 。 


表 10-2 IP 性 能 测度 
a) 基于 抽样 的 测度 






统计 性 定义 
百 分 位 、 中 值 、 最 小 值 、 反 百 分 位 









时 延 =dT， 其 中 Sre 在 T 时 刻 发 送 分 组 的 第 一 个 
比特 ，Dst 在 THAT 时 刻 接收 分 组 的 最 后 一 个 比特 
时 延 =dT， 其 中 Sre 在 T 时 刻 发 送 分 组 的 第 一 个 
比特 ， 并 在 THdT 时 刻 接收 从 Dst 返 回 分 组 的 最 后 | 百 分 位 、 中 值 、 最 小 值 、 反 百 分 位 
一 个 比特 






单 向 时 延 










往返 时 延 
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( 续 ) 
a) 基于 抽样 的 测度 
测度 名 称 统计 性 定义 
TARU 0 (表示 分 组 成 功 传输 和 接收 -1 CR 
= ii * F 4] AS KAY x Se A 
和 分 丢 包 同 陋 的 数值 或 比率 低 于 一 个 定义 
iinet FARM: REAR AR (这 里 的 丢 包 包 | WA ee en eat 
括 连 续 丢弃 的 分 组 ) 
sane 一 条 分 组 流 中 一 对 分 组 的 分 组 时 延 方差 (pav) -| 百 分 位 、 反 百 分 位 、 时 延 振动 峰值 
所 选 分 组 单 向 时 延 之 间 的 差异 与 峰值 之 间 的 pdv 
b) 其 他 测度 
| 具体 测度 





单 向 即时 连通 性 、 双 向 即时 连通 性 、 
单 向 间隔 连通 性 、 双 向 间隔 连通 性 、 双 
向 时 态 连通 性 


BTC= 传输 的 数据 长 度 /经 过 的 时 间 





在 一 条 链 路 上 传输 分 组 的 能 力 


单条 拥塞 感知 链 路 上 长 时 间 的 平均 数据 传输 速率 
(bps) 


Src= 源 主 机 IP 地 址 

Dst= 目的 主机 IP 地 址 

这 些 测度 在 以 下 三 个 方面 进行 了 定义 。 

e 独立 测度 : 可 测量 的 最 基本 或 者 最 小 的 性 能 测度 数值 ， 例 如 对 于 时 延 测 度 ， 其 独立 

测度 就 是 单个 分 组 经 历 的 时 延 。 

e 抽样 测度 : 在 给 定时 间 周 期 内 独立 测量 的 集合 ， 例 如 对 于 时 延 测度 ， 其 抽样 测度 就 

是 一 个 小 时 周期 内 所 有 测量 的 时 延 值 集 合 。 
o 统计 性 测度 : 从 抽样 测度 通过 计算 得 到 的 统计 特征 的 值 。 例 如 某 个 抽样 的 所 有 单 向 
时 延 的 均值 就 是 一 个 统计 性 测度 。 

测量 技术 可 以 是 主动 的 或 被 动 的 。 主 动 技 术 (active technique) 需要 对 网 络 注入 一 些 分 
组 以 达到 测量 的 目的 。 这 种 方法 有 一 些 缺 点 ， 首 先是 网 络 的 负载 会 增加 ， 这 就 会 影响 测量 的 
结果 。 例 如 ， 在 一 个 负载 很 重 的 网 络 中 ,测量 分 组 的 注入 会 增加 网 络 时 延 ， 这 就 造成 测量 的 
时 延 要 比 不 测量 时 流量 的 时 延 要 大 。 此 外 ， 主 动 测量 策略 可 能 会 被 滥用 成 为 拒绝 服务 攻击 ， 
而 同时 该 攻击 又 被 认为 是 合法 的 测量 行为 。 被 动 技 术 (passive technique) 则 对 现 有 流量 的 各 
个 测度 进行 观察 和 提取 ， 这 种 方法 会 将 因特网 的 流量 内 容 暴 露 给 某 些 计 划 外 的 接收 者 ， 带 来 
安全 性 和 隐私 方面 的 问题 。 当 前 ，IPPM 工作 组 定义 的 测度 都 是 主动 测量 。 

对 于 抽样 测度 来 说 ， 最 简单 的 方法 是 在 经 过 固定 时 间 间 隔 后 进行 测量 ， 也 即 周期 性 抽 
样 ， 但 这 种 方法 也 有 一 些 问题 。 首 先 ， 如 果 网 络 中 的 流量 呈现 出 一 种 周期 性 的 行为 ， 而 且 抽 
样 周 期 是 该 周期 的 正 整数 倍 〈 反 之 亦 然 )， 这 种 相关 性 会 影响 最 后 测量 结果 的 准确 性 。 

此 外 ， 测 量 行为 会 干扰 被 测 对 象 〈 例 如 ， 向 网 络 中 注入 测量 流量 会 改变 网 络 的 拥塞 程 
度 )， 而 且 反复 周期 性 的 干扰 还 会 促使 网 络 进 入 同步 的 状态 ， 从 而 放大 单 次 测量 的 微小 影响 。 
因此 ，RFC 2330“ IP 性 能 测度 框架 ”建议 采用 泊 松 抽样 ， 这 种 方法 采用 了 泊 松 分 布 来 生成 
给 定 均值 下 的 随机 时 间 间 隔 。 

大 部 分 统计 性 测度 在 表 10-2 中 列举 出 来 ， 它 们 都 很 容易 理解 ， 其 中 的 百 分 位 测度 的 定 


连通 性 











块 传输 能 力 (BTC) 
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SA: 第 x 分 位 的 值 y 的 意思 是 有 x% 的 测量 结果 不 低 于 y。 而 一 组 测量 结果 的 反 百 分 位 x 
是 指 所 有 结果 不 高 于 y 的 百分比 。 

图 10-8 说 明了 分 组 时 延 方 差 测 度 ， 该 测度 用 于 测量 分 组 穿越 网 络 的 时 延 拌 动 或 者 变化 ， 
独立 测度 的 定义 是 选择 两 个 分 组 的 测量 结果 ， 并 计算 两 个 时 延 之 间 的 差异 ， 而 统计 性 测量 则 
利用 了 时 延 的 绝对 值 。 


P(i) PG) P(A) 





P(i) PY) P(k) 
<> <> 
aT, aT 


I, h = 标记 某 条 分 组 流 独立 测量 发 生 的 开始 和 结束 时 间 
MP, MP2 = 源 和 目的 测量 点 

P(i) = 分 组 流 中 的 第 ;个 测量 分 组 

dT, = P(i) 的 单 向 时 延 


10-8 ”定义 分 组 时 延 方差 的 模型 


K 10-2 的 b 部 分 列 出 了 两 个 不 具有 统计 意义 的 测度 ， 连 通 性 解决 网 络 上 的 一 条 运输 层 
连接 是 否 连通 的 问题 。 当 前 的 标准 (RFC 2678) 并 没有 详细 说 明 具 体 的 抽样 和 统计 性 测度 ， 
但 是 提出 了 一 个 框架 ， 这 些 测 度 可 以 在 该 框架 内 定义 。 连 通 性 由 一 个 特定 时 间 期 限 内 在 某 条 
链 路 上 传输 一 个 分 组 的 能 力 决定 。 另 一 个 测度 ， 即 块 传输 能 力 ， 也 没有 在 标准 〈RFC 3148 ) 
中 定义 抽样 和 统计 性 测度 ， 但 是 它 开 始 解决 如 何 利用 不 同 拥塞 控制 机 制 实现 方法 来 测量 网 络 
服务 传输 能 力 的 问题 。 


10.7 OpenFlow 对 QoS 的 支持 


OpenFlow 提供 了 两 种 工具 在 数据 平面 交换 机 实现 QoS 支持 ， 本 节 将 会 依次 介绍 这 几 种 
工具 。 


10.7.1 队列 结构 


OpenFlow 交换 机 通过 简单 的 队列 机 制 提供 有 限 的 QoS 支持 ， 每 个 端口 可 以 关联 一 至 多 
个 队列 ， 这 些 队列 能 提供 最 小 数据 传输 速率 保证 以 及 最 大 数据 传输 速率 限制 ， 而 队列 的 配置 
则 在 OpenFlow 协议 之 外 进行 ， 可 以 通过 命令 行 工具 或 外 部 专用 配置 协议 实现 。 

各 个 队列 使 用 一 个 数据 结构 进行 定义 ， 该 数据 结构 包括 全 局 唯一 的 标识 符 、 队 列 关联 的 
端口 、 最 小 传输 速率 保证 、 最 大 传输 速率 限制 。 每 个 队列 都 关联 了 一 个 计数 器 ， 用 于 捕获 和 
记录 队列 已 经 传输 的 字 节 和 分 组 数目 、 由 于 超出 限制 而 被 丢弃 的 分 组 数 、 队 列 在 交换 机 中 安 
装 后 经 过 的 时 间 。 

OpenFlow 的 队列 设置 (Set-Queue) 操作 用 于 将 一 条 流 表 项 映射 到 已 经 配置 好 的 端口 上 ， 
因此 ， 当 一 个 到 达 的 分 组 匹配 了 某 条 流 表 项 时 ， 该 分 组 就 被 转发 到 相应 端口 的 相应 队列 上 。 
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队列 行为 的 确定 超出 了 OpenFlow 的 范畴 ， 因 此 ， 虽 然 OpenFlow 提供 了 定义 队列 、 引 
导 分 组 到 具体 的 队列 、 对 各 个 队列 的 流量 进行 监视 的 方法 ， 但 是 任何 QoS 行为 都 必须 在 
OpenFlow 之 外 实现 。 


10.7.2 计量 器 

计量 器 是 交换 机 中 对 分 组 或 字 节 速率 进行 测量 和 控制 的 单元 ， 每 个 计量 器 都 与 一 个 或 多 
个 计量 带 相 关联 。 如 果 分 组 或 字 节 速率 超过 了 预先 设 定 的 阅 值 ， 计 量 咒 就 会 触发 计量 带 ， 随 
后 计量 带 会 丢弃 这 些 分 组 ， 因 此 计量 带 也 称 为 速率 限制 器 ( rate limiter)。 其 他 QoS 和 监管 
机 制 也 可 以 采用 计量 带 进行 设计 。 每 个 计量 器 都 是 通过 交换 机 中 的 计量 表 表 项 来 定义 ， 每 个 
计量 器 都 有 唯一 的 标识 符 ， 计 量 器 不 会 绑 定 到 队列 或 端口 上 ， 相 反 ， 它 们 会 被 流 表 项 的 命令 
激活 ， 多 个 流 表 项 可 以 指向 同一 个 计量 器 。 

在 简要 介绍 计量 器 的 总 体 情 况 后 ， 我 们 来 看 看 它 的 一 些 具 体 细 节 。 一 个 计量 器 会 对 其 关 
联 的 分 组 速率 进行 测量 ， 并 可 以 对 这 些 分 组 的 速率 进行 控制 。 计 量 器 还 可 以 对 它 所 关联 的 
所 有 流 表 项 聚合 后 的 速率 进行 测量 和 控制 。 多 个 计量 器 也 可 用 于 相同 的 表 ， 但 必须 是 专用 的 
(也 就 是 将 一 个 流 表 拆 分 开 来 ) 。 多 个 计量 器 可 以 通过 用 在 连续 的 流 表 上 从 而 用 于 相同 的 分 组 


a; 


图 10-9 显示 了 计量 表 的 结构 以 及 它 如 何 与 一 条 流 表 项 关联 。 





SSS E PERA ; 

-oa a a 

‘as =a 
图 10-9 OpenFlow 中 与 QoS 相关 的 格式 字段 


流 表 项 包括 带 有 参数 meter id 的 计量 (meter) 指令 ， 任 何 与 该 流 表 项 匹配 的 分 组 都 会 
引导 到 对 应 的 计量 器 上 。 而 在 计量 表 内 部 ， 每 个 表 项 都 包括 以 下 三 个 字段 。 

o 计量 器 标识 符 : 一 个 32 比特 长 的 无 符号 整数 ， 用 于 唯一 标识 计量 器 。 

e 计量 带 : 一 个 或 多 个 计量 带 的 无 序列 表 ， 其 中 每 个 计量 带 都 指定 了 具体 的 速率 以 及 
处 理 分 组 的 方法 。 

o 计数 器 : 在 处 理 分 组 后 计量 器 对 其 进行 更 新 ， 这 些 计 数 器 是 聚合 的 ， 也 就 是 说 计数 
器 计算 的 是 所 有 流 的 总 体 流 量 ， 不 会 将 流量 划分 为 单条 流 进 行 统计 。 

每 个 计量 带 都 包含 以 下 结构 。 

oe 计量 带 类 型 : 当前 只 有 drop 和 dscp remark 两 种 类 型 。 

。 速率 : 用 于 计量 器 选择 计量 带 ， 定 义 了 计量 带 可 以 采用 的 最 低速 率 。 

e 计数 器 : 当 处 理 分 组 后 计量 带 对 其 进行 更 新 。 
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e 与 类 型 相关 的 参数 : 某 些 计量 带 类 型 有 可 选 的 参数 ， 当 前 只 有 dscp remark 有 可 选 的 
参数 ， 它 指定 了 丢弃 的 优先 级 别 。 

如 果 分 组 或 字 节 速率 超过 了 计量 器 预先 设 定 的 阔 值 ， 计 量 器 会 触发 计量 带 。 计 量 带 类 型 
为 drop 时 ， 计 量 带 会 丢弃 这 些 超 出 速率 部 分 的 分 组 ， 因 此 ， 它 可 用 于 定义 速率 限制 。 计 量 
带 类 型 为 dscp remark 时 ， 计 量 带 会 增加 分 组 IP 首部 中 DS 代码 点 字段 的 丢弃 优先 级 别 ， 
此 ， 它 可 用 于 定义 一 个 简单 的 DiffServ 策略 。 

图 10-10 来 源 于 OpenFlow 交换 机 规范 (版 本 为 1.5.1， 发 布 于 2015 年 3 月 )， 其 中 指定 
了 OpenFlow 设置 、 修 改 和 匹配 DSCP 的 使 用 方法 。 图 中 描述 了 一 个 交换 机 中 的 三 个 流 表 ， 
一 个 流 表 中 的 多 个 流 表 项 可 以 使 用 同一 个 计量 器 ， 同 一 个 流 表 中 的 不 同 表 项 可 以 指向 不 同 的 
计量 器 ， 一 个 流 表 项 不 必 使 用 一 个 计量 器 。 通 过 使 用 一 个 流 表 中 的 不 同 计 量 器 ， 分 割 的 流 表 
项 集合 可 以 独立 计量 。 当 相继 的 流 表 都 使 用 了 计量 器 时 ， 一 个 分 组 可 能 会 经 过 多 个 计量 器 ， 
在 每 个 流 表 中 ， 匹 配 流 表 项 的 分 组 会 被 引导 到 对 应 的 计量 器 ， 图 中 带 箭头 的 黑 线 表明 了 一 条 
给 定 流 通过 这 些 流 表 的 过 程 。 图 10-10 显示 了 多 个 计量 器 如 何 作 用 在 一 条 经 过 网 络 的 流 上 ， 
该 流 的 DSCP 值 会 被 计量 器 根据 流量 调节 情况 进行 修改 。 





图 10-10 DSCP 计量 


10.8 重要 术语 
学 完 本 章 后 ， 你 应 当 能 够 定义 下 列 术语 。 


尽力 而 为 IP 性 能 测度 
区 分 服务 AY ZEB} ah 
DS 代码 点 OpenFlow 计量 器 
弹性 流量 服务 质量 (QoS) 
非 弹性 流量 服务 等 级 约定 (SLA) 
综合 服务 体系 结构 (ISA) 
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QoE: 用 户 体验 质量 





本 章 由 英国 天 空 广播 公司 Florence Agboma #5 


对 客观 和 主观 的 观点 进行 区 分 当然 是 非常 重要 的 ， 但 是 我 们 不 能 假装 对 主观 的 
观点 漠不关心 。 将 主观 事物 作为 科学 上 的 不 合理 因素 加 以 排除 是 因为 对 客观 过 分 热 
说。 客观 的 观点 是 物理 科学 和 严格 行为 心理 学 的 主流 ， 它 将 观察 者 置 于 事物 之 中 ， 
这 些 事物 围绕 在 观察 者 周围 ， 他 可 以 “通过 ”眼睛 来 看 这 些 事物 。 主 观 的 观点 则 将 
事物 置 于 观察 者 的 思维 中 ， 并 将 真实 事物 视 为 精神 上 的 体验 。 

一 一 《人 际 交往 》 Colin Cherry, 1957 年 


本 章 目标 

学 完 本 章 后 ， 你 应 当 能 够 : 

© 解释 QoE 的 动因 。 

e 定义 QoE。 

e 解释 影响 QoE 的 因素 。 

e 概述 如 何 对 QoE 进行 测量 ， 包 括 对 主观 和 客观 评价 之 间 差 异性 的 探讨 。 

o 探讨 QoE 的 不 同 应 用 领域 。 

本 章 通过 对 体验 质量 (quality of experience, QoE) 出 现 及 使 用 的 背景 知识 和 动因 来 对 
其 进行 探讨 ， 并 论述 QoE 的 关键 特性 以 及 影响 它 的 因素 。 本 章 最 主要 的 焦点 是 多 媒体 通信 
系统 环境 中 的 QoE， 这 种 环境 中 较 低 的 网 络 性 能 通常 会 严重 影响 用 户 的 体验 。 


11.1 为 什么 会 有 QoE 


在 因特网 出 现 之 前 ， 视 频 内 容 分 发 都 由 内 容 发 布 商 提 供 ， 他 们 在 封闭 的 视频 分 发 系统 中 
传输 自己 的 产品 和 服务 ， 这 些 系统 通过 电缆 和 卫星 电视 运营 商 来 构建 并 管理 。 运 营 商 拥 有 
整个 分 发 链 以 及 家 庭 中 的 视频 接收 设备 (机顶盒 )， 并 对 其 进行 运 维 。 这 些 封闭 的 网 络 和 设 
备 完全 由 运营 商 控 制 ， 并 进行 专门 的 设计 、 部 署 、 配 备 和 优化 ， 从 而 为 用 户 提供 高 质量 的 
视频 。 

图 11-1 显示 了 一 个 典型 卫星 电视 端 到 端 传输 链 的 抽象 场景 ， 实 际 上 ， 这 种 内 容 传 输 和 
分 发 链 由 复杂 的 应 用 和 系统 集成 。 

如 图 所 示 ， 流量 (在 广播 中 是 指 “ 节 目 素材 ”) 调度 系统 通过 远程 影像 播 控 系统 以 及 编 
码 和 聚合 形成 MPEG 传输 流 (TS)， 从 而 提供 音频 和 视频 (A/V) 内 容 。 传 输 流 与 节目 具体 信 
B (PSI) 一 起 通过 卫星 传输 到 订阅 用 户 的 机 顶 盒 (STB) Eo 
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订阅 用 户 


图 11-1 采用 了 典型 卫星 电视 分 发 网 络 的 内 容 分 发 网 络 抽象 场景 


在 线 视频 内 容 分 发 

因特网 上 的 视频 分 发 采用 了 不 同 的 方法 ， 因 为 因特网 由 大 量子 网 和 设备 构成 ， 这 些 子 
网 和 设备 分 布 在 不 同 的 地 理 位 置 ， 视 频 流 要 穿 过 很 多 未 知 的 地 域 才 能 到 达 用 户 处 (如 图 11-2 
所 示 )。 在 这 种 情况 下 ， 保 证 较 好 的 网 络 性 能 通常 是 一 项 非常 具有 挑战 性 的 工作 。 





ISP 接 人 网 


图 11-2 ”利用 因特网 分 发 网 络 的 内 容 分 发 网 络 抽象 场景 


因特网 服务 提供 商 (ISP) 并 不 拥有 整个 内 容 分 发 网 络 ， 因 此 出 现 质量 衰退 的 风险 比较 
高 。 接 和 人 网 可 以 由 同 轴 电 缆 、 铜 线 、 光 纤 或 无 线 (固定 和 移动 的 ) 技术 组 成 ， 分 组 时 延 、 时 
延 抖 动 和 丢 包 等 问题 可 能 会 困扰 这 些 网 络 。 


202 BOE APERWEXLS LARK 


过 去 几 十 年 ， 因 特 网 的 增长 和 扩张 引发 了 网 络 视频 流 服务 可 用 性 的 巨大 发 展 ， 网 络 接 人 
设备 也 出 现 了 显著 的 技术 进步 。 

随 着 这 些 服务 的 普及 流行 ， 提 供 商 需要 确保 用 户 体验 与 用 户 期 望 的 标准 相 匹 配 。 用 户 的 
标准 通常 会 受到 旧 技 术 所 提供 的 高 视频 体验 质量 的 影响 ， 而 这 种 体验 是 通过 电缆 和 卫星 电视 
运营 商 提供 的 。 当 前 广播 电视 提供 的 较 高 的 性 能 也 对 用 户 期 望 产生 了 影响 ， 这 种 性 能 主要 体 
现在 以 下 方面 : 

o 技巧 模式 (trick mode) 功能 ， 该 功能 作为 视频 流 系统 的 特性 可 以 模仿 快 进 、 倒 带 等 

可 视 的 反馈 操作 。 

。 跨 多 个 屏幕 的 情景 (Contextual) 体验 ,包括 暂停 某 个 屏幕 的 图 像 然 后 切换 到 另 一 个 

屏幕 ， 可 以 让 用 户 一 直 跟 随 视频 来 体验 。 


技巧 模式 A ke EER 
具体 的 例子 包括 快 进 < 慢 放 、 倒 带 和 随机 访问 。 ~ 


情景 体验 ”通过 物理 、 时 间 、 社 交 、 任 务 、 经 济 和 技术 特征 描述 端 用 户 环境 的 任意 情 
景 特性 。 物理 背 景 描述 了 地 理 位 置 和 空间 特征 ， 包 括 地 理 位 置 内 的 移动 和 地 理 位 置 间 的 过 
渡 ; 时 间 背 景 描述 了 日 期 、 持 续 时 间 、 使 用 系统 /服务 频率 的 时 间 特 征 ; 社交 背景 描述 了 
服务 使 用 特征 ， per. a $e Ss Fale 起 。 经 济 背景 是 指 成 本 和 订阅 类 
型 等 特征 。 


为 了 对 在 线 服 务 的 用 户 体 验 进行 管理 ，QosS 框架 成 为 在 提供 这 些 服务 的 传输 系统 中 实施 
网 络 流量 管理 的 技术 和 工具 。QoS 的 目标 是 管理 网 络 的 性 能 ， 并 为 网 络 流量 提供 性 能 保证 ， 
QoS 能 测量 网 络 参数 ， 并 检测 网 络 的 变化 情况 (例如 拥塞 、 可 用 带宽 )， 从 而 实现 资源 管理 
和 流量 排序 等 稳定 性 策略 。 

但 是 ， 目 前 逐步 形成 的 共识 是 ， 仅 靠 QoS 过 程 无 法 提供 足够 的 性 能 保证 ， 因 为 没有 从 
用 户 的 角度 来 考虑 网 络 性 能 和 服务 质量 ， 这 一 共识 导致 了 QoE 的 出 现 。 

不 同 接 人 设备 类 型 的 增加 进一步 凸显 了 QoE 框架 的 重要 性 。 对 于 一 个 用 PDA 观看 新 闻 
的 用 户 来 说 ， 他 的 QoE 与 那些 用 3G 手机 观看 相同 新 闻 的 用 户 不 同 ， 是 因为 这 两 种 终端 的 显 
示 屏 幕 、 带 宽大 小 、 帧 速率 、 编 码 方式 以 及 处 理 能 力 都 不 相同 ， 因 此 在 为 这 两 类 终端 传输 多 
媒体 内 容 或 服务 的 时 候 ， 如 果 不 仔细 考虑 用 户 对 不 同 终端 类 型 所 期 望 的 质量 或 需求 ， 很 可 能 
会 导致 服务 超额 配给 或 网 络 资源 浪费 。 

QoE 的 非 正式 定义 是 指 用 户 对 特定 服务 的 感受 。QoE 应 当成 为 网 络 设计 与 管理 、 内 容 
分 发 系统 以 及 其 他 工程 方法 的 核心 测度 之 一 ， 因 为 QoE 在 端 用 户 设备 上 从 用 户 角度 完成 了 
对 服务 水 平 的 端 到 端 性 能 测量 (参见 11.4 节 )。 


11.2 ARZ QoE 考量 而 失败 的 服务 


3D 电视 服务 经 常 被 引 作 主 要 的 经 典 商业 失败 案例 ， 而 这 正 是 因为 它 的 QoE 水 平 太 差 所 
导致 的 。 

2010 年 ，Disney、Foxtel、BBC 和 Sky 等 广播 公司 开始 将 3D 内 容 传输 作为 服务 推送 给 
用 户 ， 以 提供 高 品质 的 服务 体验 。 事 实 上， 每 个 广播 公司 甚至 都 铺设 了 自己 的 专用 3D 电视 
信道 ， 但 是 在 5 年 内 ， 除 Sky 以 外 的 其 他 公司 都 终止 了 3D 电视 的 运营 。 
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造成 这 些 服务 失败 的 因素 有 很 多 ， 首 先是 尚未 有 很 多 可 用 的 “ wow 视频 内 容 ”( 也 即 那 
些 用 户 最 可 能 会 从 中 找到 乐趣 并 对 其 感 兴趣 的 内 容 ) ; 其 次 是 在 家 庭 环境 中 使 用 这 些 服务 时 ， 
需要 佩戴 专门 的 3D 眼镜 ; 第 三 是 因为 广播 公司 在 部 署 3D 电视 技术 时 非常 仓促 ， 内 容 提供 
商 经 验 不 足 ， 使 用 了 不 完善 的 系统 和 工具 来 创作 内 容 。 这 些 原 因 导致 了 大 量 低 质量 3D 内 容 
的 产生 ， 让 早期 的 订阅 者 放弃 了 订购 。 


11.3 与 QoE 相关 的 标准 化 项 目 


QoE 领域 增长 非常 快 ， 当 前 已 经 有 很 多 项 目 开 始 解决 与 实践 和 标准 相关 的 问题 ， 这 些 项 
目的 目标 是 避免 11.2 节 中 所 提 到 的 那 种 商业 失败 情况 再 次 出 现 。 表 11-1 总 结 了 这 些 项 目 中 
最 有 名 的 项 目 ， 其 中 有 两 个 项 目 会 在 接 下 来 的 段落 中 具体 介绍 。 

表 11-1 QoE 提议 与 项 目 
电信 和 领域 的 联合 产业 驱动 欧洲 研究 所 
国际 电信 联盟 的 电信 标准 化 | ”在 全 球 基础 上 提出 技术 草案 推动 电信 标准 化 
部 门 (ITU-T) 的 多 国联 合 机 构 
IEEE 内 部 的 标准 制定 部 门 ， 通 过 邀请 工业 
IEEE 标准 化 协会 (IEEE-SA) | 界 和 广泛 的 利益 相关 方 团体 以 开放 的 方式 来 开 | ”网 络 自 适 应 QoE 标准 
发 和 制定 得 到 一 致 同意 的 标准 

视频 质量 专家 组 ( Video Quality Experts Group, VQEG) 当前 致力 于 家 庭 娱 乐 系统 中 
3D 视频 质量 评估 技术 草案 的 制定 (http://www.its.bldrdoc.gov/vqeg/projects/3dtv/3dtv.aspx)， 
VQEG 同时 还 在 影响 3D 电视 收看 体验 因素 以 及 减少 这 些 影响 的 方法 等 方面 提出 了 相关 的 参 
考 文档 ， 这 些 影响 收看 体验 因素 的 例子 有 人 失真、 视觉 不 适 和 视觉 疲劳 。 

另 一 个 提议 是 网 络 体验 质量 评估 (QuEEN) WA [ETSI14]， 该 项 目 包括 多 个 组 织 机 构 和 
多 个 国家 ， 目 的 是 解决 与 音频 、 视 频 和 IPTV 等 在 线 服务 相关 的 问题 。 在 该 领域 里 ， 服 务 和 
网 络 提 供 商 都 试图 在 QoE 和 波动 性 方面 提供 更 好 的 服务 ， 从 而 胜 过 他 们 的 竞争 对 手 。 

QuEEN 项 目 设 计 了 一 个 运 维 框架 ， 它 将 影响 QoE 的 因素 划分 为 多 个 层次 ， 并 介绍 了 如 
何 将 每 个 层次 与 一 个 质量 值 相 关联 。QoE 的 评估 过 程 利用 软件 代理 将 每 个 层次 集成 起 来 ， 并 
与 软件 系统 相 结 合 ， 这 些 软件 系统 试图 对 人 类 主观 上 如 何 根据 这 些 参 数 的 值 给 出 满意 度 来 建 
模 ， 软 件 代理 还 拥有 将 来 自 网 络 上 不 同 探 针 的 数据 进行 聚合 的 能 力 。 

QuEEN 代理 是 分 层 模型 的 核心 ， 它 能 让 QoE 评估 器 在 大 规模 分 布 式 环境 中 进行 灵活 的 
部 署 ， QuEEN 项 目 历经 3 年 于 2014 年 结束 ， 期 间 产生 了 许多 令 人 印象 深刻 的 结果 。QuEEN 
使 用 软件 QoE 代理 的 方法 已 经 在 不 同 的 ETSI 和 ITU 标准 中 得 到 了 标准 化 ， 这 一 结果 激励 
着 新 的 QoE 使 用 方法 以 及 QoE 管理 方法 的 发 展 。 


11.4 ”体验 质量 的 定义 


当前 有 许多 相似 但 不 同 的 QoE 定义 方法 ，QoE 在 不 同人 之 间 也 会 产生 变化 ， 因 此 很 难 
用 定量 的 方法 来 理解 QoE 的 本 质 。QoE 需要 利用 多 种 学 科 相 结合 的 方法 ， 包 括 通信 网 络 、 
认 知 过 程 、 多 媒体 信号 处 理 、 社 会 心理 学 等 ， 来 理解 用 户 对 质量 的 看 法 。 
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不 同学 科 领 域 的 研究 人 员 通 常会 使 用 他 们 自己 的 专业 语言 和 术语 来 描述 一 些 相 同 的 概 
， 因 此 ， 其 他 领域 的 研究 人 员 学 习 和 理解 特定 领域 的 文献 资料 不 是 一 件 容易 的 事情 。 因 
， 如 何 对 QoE 以 及 影响 QoE 的 各 种 因素 进行 测量 和 描述 缺少 共识 。 

这 种 跨 学 科 解 决 QoE 方法 的 第 一 步 是 明确 指定 一 个 通用 的 术语 框架 。 

拟定 这 个 通用 框架 的 工作 始 于 2012 年， 由 欧洲 网 络 多 媒体 系统 与 服务 中 的 体验 质量 
(QUALINET) [MOLL12] 工作 组 负责 。 该 工作 组 研究 人 员 和 产业 界 专家 的 主要 目标 是 促进 
对 QoE 及 其 相关 概念 正式 定义 的 探讨 。 

本 节 所 介绍 的 质量 、 体 验 、 体 验 质量 等 定义 都 是 从 QUALINET 的 白皮书 [MOLL12] 
而 来 。 


11.4.1 质量 的 定义 


质量 是 指 用 户 对 一 个 可 观测 事件 经 过 “对 比 和 判断 ”之 后 所 做 出 的 结果 判断 。 

这 个 过 程 包括 以 下 几 个 重要 的 有 序 步骤 : 

o 对 事件 的 感知 (perception) 

e 对 感知 的 反应 

e 对 感知 的 描述 

e 对 结果 的 评价 与 描述 

因此 ， 质 量 采 用 特定 事件 背景 下 用 户 需 求 得 到 满足 的 程度 来 进行 评价 ， 评 价 结果 通常 是 
某 个 参考 范围 内 的 质量 评分 。 


“感知 ”人 类 感官 对 感觉 信息 下 意识 的 处 理 。 


ai è 


11.4.2 ”体验 的 定义 


体验 是 对 感知 流 的 个 人 描述 ， 以 及 他 对 一 个 或 多 个 事件 的 阐述 。 体 验 结果 源 于 对 一 个 系 
统 、 服 务 或 人 为 现象 的 接触 。 
需要 特别 说 明 的 是 ,体验 的 描述 并 不 必须 产生 对 质量 的 判定 。 


11.4.3 ”质量 的 形成 过 程 


如 图 11-3 所 示 ， 质 量 评分 的 形成 过 程 有 两 个 不 同 的 子 过 程 路 径 ， 分 别 是 感知 路 径 和 参 
照 路 径 。 

参照 路 径 反映 了 质量 形成 过 程 的 时 间 和 背景 性 质 ， 该 条 路 径 会 受到 先前 体验 质量 的 影 
响 ， 在 图 中 由 历史 质量 到 参照 路 径 的 箭头 对 其 进行 了 标识 。 

感知 路 径 由 到 达观 察 者 感知 器 官 的 物理 输入 信号 描述 ， 这 些 信号 能 够 为 观察 者 所 评价 。 
物理 事件 的 处 理 是 通过 低层 的 感知 过 程 在 参照 路 径 的 限制 条 件 内 到 达 感 知 特征 的 ， 这 种 感知 
特征 经 历 了 利用 认 知 ( cognitive) 处 理 来 理解 感知 特征 的 反射 过 程 。 这 时 ,感知 的 概念 能 够 
被 描述 出 来 ， 而 且 还 有 量化 为 感知 的 质量 特征 的 可 能 。 


认 知 : 感知 、 记 忆 、 判 断 和 推理 的 心理 过 程 。 


质量 特征 源 自 于 参照 和 感知 路 径 ， 它 随后 会 经 过 对 比 和 判定 过 程 而 转换 成 体验 的 质量 。 
体验 的 质量 受到 时 间 、 空 间 和 人 的 限制 ， 因 此 体验 的 质量 也 称 为 质量 事件 (event)。 与 事件 


# 11% QoE: APHKBRF 205 


相关 的 信息 可 以 在 描述 层级 从 用 户 处 获得 。 
事件 可 观察 到 的 事情 。 


输入 


源 信 号 
(物理 性 质 ) 





背景 与 系统 影响 因素 | 









和 nib i cl nee aga mem 
fa ess E T 感知 路 径 
e Fii ; - 
起 pinas 
! 预期 RIPE : 
=D | 


; 感知 的 质量 特征 | 


质量 评分 
(描述 ) 


图 11-3 源 自 个 体 观点 的 质量 形成 过 程 图 形 化 说 明 (本 图 来 源 于 [MOLL12]) 


质量 信息 的 最 后 一 步 在 于 期 望 的 特征 和 体验 到 的 特征 之 间 的 对 比 。 在 特殊 情况 下 ， 质 量 
信息 过 程 的 输出 与 体验 质量 相对 应 。 
11.4.4 体验 质量 的 定义 


结合 前 面 几 节 的 概念 和 定义 ，QoE 的 定义 应 反映 出 产业 界 和 学 术 界 之 间 的 广泛 一 致 性 ， 
具体 如 下 : 

体验 质量 (QoE) 是 指 用 户 对 某 个 应 用 或 服务 的 愉悦 或 恼怒 程度 ， 它 源 于 在 用 户 个 性 和 
当前 状态 条 件 下 ， 他们 对 某 个 应 用 或 服务 所 期 待 的 满意 程度 。 


11.5 ”实际 中 的 QoE 策略 


从 与 QoE 相关 项 目 得 出 的 结论 是 ， 对 于 许多 服务 来 说 ， 用 户 对 质量 总 体 的 感受 是 受 多 
个 QoS 参数 影响 的 。 这 促成 了 QoE/Qo5S 分 层 方法 的 出 现 ， 在 该 方法 中 ， 用 户 的 需求 驱动 了 
全 网 的 策略 。 


11.5.1 QoE/QoS 分 层 模型 


QoE/QoS 分 层 方法 没有 忽略 网 络 QoS 方面 的 内 容 ， 但 是 采用 了 用 户 和 服务 等 级 的 观点 
来 互 为 补充 ， 具 体 如 图 11-4 所 示 。 
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分 层 方法 中 的 各 个 层级 如 下 所 述 。 
。 用 户 层 : 用 户 层 与 服务 层 进行 交互 。 该 层级 使 用 PEN 

服务 并 对 服务 进行 测量 从 而 得 到 用 户 的 愉悦 或 大 Ne 

恶 程度 。QoE 与 人 的 感知 相关 ， 但 是 很 难 用 定量 ae 

的 方法 来 描述 ， 而 且 它 因 人 而 异 。 用 户 层 QoE QoE 域 

的 复杂 性 源 于 个 体 用 户 特征 的 差异 ， 这 些 特征 有 [ 国 i 

些 会 随时 间 变 化 ， 有 些 则 会 相对 保持 稳定 。 具 体 Qoshi 

的 例子 包括 性 别 、 年 龄 、 个 性 、 阅 历 、 期 望 、 社 


在 
的 自 适应 流 媒 体 采用 了 TCP 协议 ， 它 会 对 带宽 限制 和 CPU 处 理 能 力 通过 下 列 两 种 方式 进行 


会 经 济 地 位 、 文 化 背景 、 教 育 程度 ， 等 等 。 因 图 11-4 QoE/QoS 分 层 模型 
ik, 针对 所 有 用 户 和 他 们 的 背景 而 获得 统一 的 注意 ， 由 于 QoE 和 QoS 域 之 间 有 重 
QoE 测度 非常 困难 ， 当 前 实际 的 QoE 测量 是 找 ” 台 ,因此 可 以 考虑 在 框架 之 间 采 用 信息 共 
出 和 选择 一 个 相对 稳定 的 用 户 特征 ， 以 满足 大 部 ” 享 /反馈 。 
分 的 用 户 群 体 。 
服务 层 : 服务 层 提供 了 用 户 对 总 体 服务 性 能 的 体验 进行 测量 的 一 种 虚拟 层 ， 它 是 用 
户 和 服务 直接 交互 的 接口 〈 例 如 提供 给 用 户 的 可 视 化 呈现 )。 它 的 容忍 浆 值 是 可 测 的 ， 
例如 从 用 户 角度 对 流 媒体 应 用 进行 的 QoE 测量 可 以 是 启动 时 间 、 音 频 /视频 质量 、 
频道 切换 时 间 和 缓存 中 断 次 数 等 ， 而 对 网 页 浏览 应 用 的 QoE 测量 则 可 以 是 页 面 加 载 
等 待 时 间 。 
应 用 层 QoS (AQoS ) : AQoS 主要 解决 与 应 用 相关 参数 的 控制 ， 例 如 内 容 解析 、 比 
特 率 、 帧 速率 、 色 深度 、 编 码 类 型 、 分 层 策略 和 抽样 速率 。 网 络 能 力 通常 是 指 可 以 
分 配给 某 个 服务 的 传输 带宽 。 由 于 底层 的 资源 是 固定 的 ， 一 些 应 用 级 参数 通常 可 以 
调整 和 控制 ， 从 而 满足 期 望 的 质量 等 级 ， 例 如 对 一 个 音频 服务 来 说 ， 抽 样 速 率 为 
96kHz 时 所 能 听 得 到 的 信息 要 比 48kHz 时 更 多 。 但 是 更 高 的 抽样 速率 往往 会 产生 更 
大 的 音频 文件 开销 ， 因 为 抽样 速率 是 模拟 声音 信号 每 秒 钟 所 测量 的 次 数 ， 每 次 测量 
结果 (或 抽样 结果 ) 都 会 以 数字 值 的 方式 存储 或 传输 。 

另 一 个 例子 是 视频 服务 ， 设 备 之 间 屏 幕 的 尺寸 (每 个 图 像 变化 方面 的 比例 ) 存在 
较 大 差异 。 这 些 设备 的 一 个 共同 特征 是 它们 都 能 对 视频 图 像 的 比例 进行 调节 。 对 于 
一 个 给 定 的 比特 率 ， 较 低 的 分 辩 率 和 较 少 的 失真 (视觉 异常 ) 与 较 高 的 分 辨 率 和 更 多 
的 失真 之 间 存 在 折衷 问题 ， 较 低 的 分 辨 率 会 让 图 像 出 现 模糊 ， 较 高 的 分 辩 率 会 使 图 
像 更 为 清晰 。 比 特 率 通常 反映 了 视频 (或 音频 ) 文件 的 质量 ， 因 为 它 代表 在 对 文件 进 
行 编码 时 ， 每 秒 钟 比特 的 数目 : 大 部 分 压缩 标准 采用 了 基于 数据 块 和 运动 补偿 编码 
机 制 ， 因 此 ， 解 码 后 的 视频 会 出 现 额外 的 压缩 失真 。 
网 络 层 QoS (NQoS): 该 层次 的 QoS 主要 关心 底层 的 网 络 参 数 ， 例 如 服务 覆盖 范围 、 
带宽 、 时 延 、 吞 吐 量 和 丢 包 率 。 网 络 层 QoS 参数 有 很 多 种 方式 来 影响 QoE， 其 中 一 
种 方式 就 是 通过 网 络 时 延 来 影响 交互 式 服务 的 QoE。 例 如 ， 页 面 浏览 具有 交互 式 特 
性 ， 它 会 在 一 个 特定 时 间 窗 内 引发 多 个 检索 事件 ， 这 时 网 络 时 延 的 变化 就 会 对 其 产 
生 影 响 。 卫 电话 (voice over IP, VoIP) 服务 有 严格 的 响应 时 间 要 求 ， 而 电子 邮件 服务 
则 能 容忍 更 长 的 时 延 。 
网 络 中 采用 不 同 的 流 媒体 视频 分 发 方法 也 会 对 QoE 产生 不 同 的 影响 。 例 如 基于 HTTP 


响应 : 


响 ， 
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将 流 媒体 切换 到 其 他 可 用 的 比特 率 编码 方式 ， 这 取决 于 可 用 资源 的 情况 。 
出 现 屏幕 冻结 (重新 缓存 ) 的 情况 ， 因 为 播放 器 缓存 的 分 组 已 经 全 部 播放 完毕 。 


比特 率 切 换 和 重新 缓存 会 对 QoE 产生 不 利 的 影响 。 

而 UDP 流 媒 体 采 用 多 播 方式 来 对 视频 流 进行 复制 ， 并 分 发 到 网 络 各 处 。 此 外 ， 通 常会 
采用 有 弹性 的 编码 方式 和 流 控制 机 制 来 保证 观看 视频 的 体验 质量 ， 以 应 对 恶劣 网 络 条 件 的 
影响 。 


11.5.2 ”QoE/QoS 层次 的 概括 与 合并 


上 面 的 讨论 指明 QoE 可 能 只 是 应 用 层 或 应 用 层 与 网 络 层 相 结合 后 的 特性 ， 尽 管 质量 和 
网 络 能 力 之 间 的 折 中 可 能 由 于 网 络 能 力 的 考量 而 从 应 用 层 QoS 开始 ,但 是 在 服务 层 对 用 户 
需求 的 理解 会 有 利于 选择 更 好 的 应 用 层 QoS 参数 ， 并 将 其 映射 到 网 络 层 QoS 参数 。 一 个 利 
用 QoS 参数 来 控制 QoE 的 例子 将 在 11.8 节 讨 论 。 


11.6 ”影响 QoE 的 因素 


QoE 问题 需要 考虑 技术 和 非 技术 因素 来 解决 ， 有 许多 因素 会 对 达到 高 质量 QoE 产生 影 
主要 因素 如 下 所 示 。 


用 户 群 体 特征 : 这 里 的 群体 特征 是 指 可 能 对 直觉 感受 有 间接 影响 的 用 户 群 体 相对 稳定 
的 特征 ， 这 里 的 直觉 感受 会 最 终 影 响 其 他 技术 性 因素 对 QoE 的 确定 。 在 研究 HD 电 
话 的 一 个 标志 性 项 目 中 [QUIN12]， 不 同 的 用 户 组 会 产生 差别 很 大 的 质量 评定 。 这 里 
的 用 户 分 组 是 基于 统计 特征 来 进行 的 ， 例 如 他 们 对 新 技术 接纳 的 态度 、 社 会 群体 特 
征 信息 、 社 会 经 济 地 位 以 及 人 生 阅 历 。 文 化 背景 是 另 一 个 用 户 群 体 的 特征 因素 ， 这 
个 因素 会 因为 对 质量 在 文化 上 的 看 法 而 影响 直觉 感受 。 

设备 类 型 : 不 同 的 设备 类 型 具有 不 同 的 特征 ， 这 些 特征 也 会 对 QoE 产生 影响 。 某 
种 应 用 在 设计 时 支持 在 多 种 设备 类 型 上 运行 (如 在 有 线 电 视 设备 Roku 和 iOS 设备 
iPhone)， 在 不 同 设备 上 的 QoE 可 能 就 不 一 样 。 

内 容 : 内 容 种 类 的 范围 从 交互 式 内 容 (特别 是 根据 个 人 兴趣 收藏 的 内 容 ) 到 电视 传输 
内 容 。 相 关 研 究 表明 ， 相 比 于 电视 节目 ， 用 户 更 倾向 于 收看 有 更 高 参与 度 的 视频 点 
播 ( Video on-Demand，VoD) 内 容 ， 这 可 能 是 因为 用 户 可 以 自己 决定 收看 特定 的 视 
频 点 播 内 容 ， 这 样 就 会 让 他 们 关注 这 些 内 容 。 一 个 相应 的 推断 就 是 VoD 用 户 对 质量 
衰退 的 容忍 程度 更 低 ， 因 为 他 们 的 参与 度 较 高 。 

连接 方式 : 用 于 接 入 服务 的 连接 方式 会 对 用 户 的 期 望 和 他 们 的 QoE 产生 影响 。 相 对 
于 有 线 连接 方式 ， 用 户 使 用 3G 接 入 时 ， 他 们 通常 会 有 一 个 相对 更 低 的 期 望 ， 即 使 这 
两 种 方式 从 技术 条 件 上 来 说 是 完全 一 样 的 。 此 外 ， 用 户 使 用 小 型 设备 时 ,他们 的 期 
望 会 更 低 ， 而 且 对 视觉 图 像 缺 陷 的 容忍 程度 更 高 。 

媒体 (视听 ) 质量 : 这 是 影响 QoE 的 一 个 非常 重要 的 因素 ， 因 为 它 是 服务 的 一 部 分 ， 
而 且 用 户 对 其 非常 关注 。 总 体 的 音频 和 视频 质量 是 依赖 于 内 容 的 ， 对 于 简单 一 些 的 
场景 来 说 (例如 采访 )， 音 频 质量 的 重要 性 程度 要 略 高 于 视频 质量 ， 而 对 于 高 速 移动 
的 内 容 来 说 ， 视 频 质 量 的 重要 性 则 要 远 比 音频 质量 高 。 

网 络 : 通过 因特网 进行 内 容 分 发 很 容易 受到 时 延 、 时 延 拌 动 、 竺 包 和 可 用 带宽 等 因 
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素 的 影响 。 时 延 抖 动 会 导致 用 户 遭 遇 屏 幕 冻结 和 音频 视频 错位 的 情况 。 尽 管 视 频 内 
容 可 以 利用 一 些 因 特 网 协议 来 传输 ， 但 它们 并 不 都 是 可 靠 的 。 利 用 TCP/IP 可 以 保证 
内 容 的 传输 ， 但 是 网 络 条 件 较 差 时 ，QoE 会 由 于 重新 缓存 时 间 和 中 断 次 数 增加 而 导 
致 衰退 ，IP 视频 重 放 中 的 重新 缓存 中 断 被 认为 是 最 严重 的 用 户 QoE 衰退 ， 应 当 通 过 
增加 启动 时 延 来 避免 这 种 情况 。 同 样 需要 注意 的 是 ， 对 于 特定 的 启动 时 延 来 说 ， 其 
QoE 在 很 大 程度 上 取决 于 应 用 背景 和 用 户 期 望 。 虽 然 可 靠 性 和 较 强 的 无 线 信 号 是 与 
网 络 相关 的 不 同 QoE 因素 ， 但 它们 对 电视 类 服务 都 非常 重要 。 

可 用 性 : 另 一 个 QoE 因素 是 使 用 服务 所 要 花费 的 代价 ， 服 务 设计 时 应 当 在 提供 高 质 
量 的 同时 不 要 对 用 户 有 太 多 技术 性 要 求 。 

成 本 : 通过 价格 来 决定 质量 的 长 期 实践 预示 期 望 值 是 依赖 于 价格 的 ， 如 果 特 定 服务 
质量 的 收费 高 ， 那 么 用 户 对 任何 质量 衰退 都 会 非常 敏感 。 


QoE 的 测量 


QoE 测量 技术 从 早期 电视 系统 的 心理 物理 学 方法 的 修改 和 应 用 演化 而 来 ， 本 节 主 要 介绍 
三 种 QE 测量 方法 ,分 别 是 主观 评价 法 、 客 观 评 价 法 和 端 用 户 设备 分 析 法 。 


11.7.1 


主观 评价 法 


对 QoE 进行 主观 评价 时 ， 实 验 需 要 在 高 度 控制 方面 (例如 在 可 控 的 实验 室 中 、 现 场 测 
试 或 者 众 包 环境 中 ) 精 必 设计， 这 样 才 能 保证 结果 的 有 效 性 和 可 靠 性 。 在 主观 评价 实验 的 初 
始 设计 阶 段 还 应 当 咨 询 专家 的 建议 ， 因 为 实验 设计 、 执 行 和 统计 分 析 都 非常 复杂 。 通 常 来 
说 ， 获 取 主 观 QoE 数据 的 方法 需要 包含 以 下 几 个 阶段 。 


描述 服务 的 特征 : 本 阶段 的 任务 是 选择 对 用 户 体验 影响 最 大 的 QoE 测量 方法 。 例 如 
对 于 一 个 多 媒体 视频 服务 来 说 ， 音 频 的 质量 要 比 视频 质量 重要 ， 而 且 在 音频 和 视频 
能 保持 同步 的 情况 下 ， 这 些 应 用 的 视频 质量 不 要 求 很 高 的 帧 速率 。 因 此 ， 单 帧 分 辨 
率 对 这 些 应 用 的 重要 性 比 其 他 视频 流 媒体 服务 要 低 ， 特 别 是 当 屏 幕 的 尺寸 很 小 时 ( 例 
如 手机 )。 这 样 ， 在 多 媒体 视频 服务 中 QoE 测量 的 排序 应 当 是 音频 质量 、 音 频 和 视频 
的 同步 ， 最 后 才 是 图 像 质 量 。 

设计 和 定义 测试 矩阵 : 一 旦 描述 完 服务 的 特征 ， 影 响 QoE 测量 的 QoS 因素 就 能 找 
出 来 了 。 例 如 ， 流 媒体 服务 的 视频 质量 会 直接 受 带 宽 、 丢 包 等 网 络 参数 以 及 帧 速率 、 
分 辨 率 、 解 码 器 等 编码 参数 的 影响 ， 而 终端 显示 设备 的 屏幕 尺寸 、 处 理 能 力 等 也 起 
到 了 相当 重要 的 作用 。 但 是 , -对 如 此 繁多 的 参数 进行 测试 是 不 可 行 的 ， 因 此 通过 对 
QoE 影响 效果 类 似 的 参数 进行 压缩 删 减 将 会 得 到 一 个 更 为 可 行 的 测试 条 件 。 

指定 测试 设备 和 器 材 : 在 设计 主观 测试 时 应 当 指 定 测试 设备 ， 从 而 使 测试 矩阵 能 够 
以 可 控 的 方式 执行 。 例 如 在 对 流 媒 体 应 用 的 NQoS 参数 和 感受 到 的 QoE 之 间 的 关联 
性 进行 评价 时 ， 至 少 需要 一 个 客户 端 设 备 和 一 个 流 媒体 服务 器 ， 而 且 它 们 之 间 需 要 
通过 模拟 网 络 相互 隔离 。 如 果 测 试 的 目标 是 为 了 评价 不 同 配置 的 设备 对 QoE 有 怎样 
的 影响 ， 那 么 视频 内 容 的 格式 应 当 可 以 在 所 有 设备 上 运行 

识别 样本 群体 : 一 个 有 代表 性 的 样本 群体 是 可 识别 的 ， 并 涵盖 通过 用 户 群 体 特征 所 划 
分 的 不 同类 别 的 用 户 ， 这 些 对 实验 者 来 说 是 非常 有 用 的 。 对 于 依托 目标 环境 的 主观 
测试 来 说 ， 在 可 控 环境 (例如 实验 室 ) 中 ， 较 为 理想 的 测试 对 象 至 少 要 有 24 个 ， 而 
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在 公共 环境 中 则 应 当 至 少 有 35 个 测试 对 象 。 较 少 的 测试 对 象 可 用 于 试验 性 研究 来 标 
识 趋势 。 在 主观 评价 的 背景 中 使 用 众 包 的 方法 仍然 处 于 发 展 之 中 ， 但 是 它 具 备 进 一 
步 增加 样本 群体 规模 并 减少 主观 测试 完成 时 间 的 潜能 。 

主观 方法 : 几 种 主观 评价 方法 已 经 存在 于 工业 推荐 中 ,但 是 其 中 的 大 部 分 推荐 都 对 
每 个 测试 对 象 提出 了 测试 条 件 以 及 一 组 评定 量 表 ， 它 们 允许 对 用 户 反应 和 实际 QoS 
测试 条 件 之 间 的 关联 性 进行 测试 。 目 前 有 多 种 等 级 规模 ， 这 取决 于 实验 的 设计 。 
结果 分 析 : 当 测试 对 象 设 定 了 所 有 QoS 测试 条 件 等 级 时 ， 需 要 一 个 后 台 程序 处 理 
数据 ， 并 删除 测试 对 象 中 所 有 的 错误 数据 。 多 种 统计 方法 可 以 用 于 对 结果 进行 分 
析 ， 这 取决 于 实验 的 设计 。 最 简单 最 通用 的 定量 方法 是 平均 意见 得 分 (mean opinion 
score, MOS)， 这 种 方法 是 在 特定 QoS 测试 条 件 下 收集 的 观点 的 均值 。 主 观 评价 实验 
的 结果 可 用 于 QoE 的 量化 ， 并 对 QoS 因素 的 影响 进行 建 模 。 主 观 实验 需要 精心 的 规 
划 和 设计 ， 从 而 得 到 可 靠 的 主观 MOS 评分 。 然 而 ,这 会 耗费 大 量 时 间 和 成 本 去 实 
施 ， 而 且 不 适合 实时 类 服务 的 监测 ， 在 这 种 情况 下 ， 采 用 客观 评价 方法 更 好 。 


11.7.2 ”客观 评价 法 


从 客观 评价 QoE 这 一 方面 来 说 ， 各 种 计算 算法 可 以 对 用 户 感受 到 的 音频 、 视 频 和 视听 
质量 进行 评估 。 每 种 客观 模型 都 是 以 特定 的 服务 类 型 为 对 象 ， 而 所 有 客观 模型 的 目的 都 是 找 
出 最 合适 的 拟 合 结果 ， 且 该 结果 与 主观 实验 得 到 的 数据 具有 强 相 关 性 。 后 面 列 举 的 QoE 客 
观 评价 法 各 个 阶段 并 不 非常 详尽 ， 但 是 它们 对 于 解释 如 何 得 到 客观 QE 数据 的 过 程 非常 有 
用 。 获 取 客 观 QoE 数据 的 方法 可 能 包含 以 下 几 个 阶段 。 


主观 数据 的 数据 库 : 最 开始 可 以 收集 主观 数据 集 ， 因 为 它们 可 以 作为 基准 数据 训练 
和 验证 客观 模型 的 性 能 。 这 些 数据 集 的 一 个 典型 例子 就 是 从 主观 测试 过 程 中 得 到 的 
主观 QoE 数据 。 主 观 数据 集 的 选择 通常 应 当 考虑 客观 模型 的 使 用 案例 。 

客观 数据 的 预 处 理 : 客观 模型 数据 的 预 处 理 通 常 包括 相同 QoS 测试 条 件 以 及 其 他 复 
AR QoS 条 件 的 组 合 。 在 对 数据 进行 训练 以 及 算法 提炼 之 前 ， 有 多 种 预 处 理 方 法 可 用 
于 视频 数据 。 

客观 方法 : 现在 有 多 种 算法 能 够 用 于 对 用 户 所 感知 的 音频 、 视 频 和 视听 质量 进行 评 
估 。 一 些 算法 只 能 专用 于 用 户 感受 的 质量 异常 ， 而 其 他 算法 则 可 以 用 于 更 为 广泛 规 
模 的 质量 异常 中 ， 具 体 的 例子 包括 模糊 、 斑 块 、 不 自然 移动 、 停 顿 、 内 容 跳跃 、 重 
新 缓存 、 传 输 错误 后 不 当 的 错误 修正 等 。 

结果 的 验证 : 在 客观 算法 处 理 完 所 有 QoS 测试 条 件 后 ， 预 测 值 可 以 通过 后 台 程 序 删 
除 异 常 值 而 获 益 ， 这 里 的 后 台 程序 与 主观 数据 集中 的 概念 相同 。 相 比 于 主观 QoE 数 
据 集 来 说 ， 从 客观 算法 得 到 的 预测 值 可 以 是 不 同 尺 度 上 的 。 预 测 值 可 以 通过 变换 而 
在 尺度 上 与 主观 实验 得 到 的 数值 一 致 (例如 在 MOS 方法 中 )， 从 而 可 以 进行 直接 对 
比 ， 而 且 预 测 的 QoE 值 和 主观 QoE 数据 可 以 直接 进行 最 优 拟 合 。 

客观 模型 的 验证 : 客观 数据 分 析 应 当 通 过 使 用 不 同 的 主观 数据 集 对 预测 准确 性 、 一 
致 性 、 线 性 进行 评价 。 值 得 注意 的 是 ， 模 型 的 性 能 可 能 取决 于 训练 的 数据 集 以 及 验 
证 过 程 ， 视 频 质 量 专家 组 (VQEG) 对 客观 感知 模型 的 性 能 进行 了 验证 ， 这 些 模型 才 
能 成 为 电视 和 多 媒体 应 用 客观 质量 模型 的 ITU 规范 和 标准 。 


314] 
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11.7.3 ” 端 用 户 设备 分 析 法 

端 用 户 设备 分 析 法 是 另 一 种 QoE 测量 方法 。 每 个 视频 会 话 的 连接 时 间 、 发 送 字 节 数 、 
平均 重 放 速 率 等 实时 类 数据 由 视频 播放 器 应 用 收集 ， 并 反馈 给 服务 器 模块 。 在 服务 器 模块 
中 ,这 些 数据 会 提前 聚合 起 来 ， 然 后 转换 为 有 用 的 QoE 测量 结果 ， 其 中 一 些 针 对 个 人 用 户 
的 测度 包括 启动 时 延 、 重 新 缓存 时 延 、 平 均 比 特 率 、 比 特 率 切换 的 频率 。 

运营 商 倾向 于 将 观众 的 参与 度 与 他 们 的 QoE 关联 起 来 ， 因 为 较 高 的 QoE 通常 不 太 可 能 
会 让 用 户 放弃 观看 。 观 众 参 与 度 的 定义 可 以 针对 不 同 的 运营 商 和 背景 采用 不 同 的 方法 。 首 
先 ， 运营 商 乐 于 了 解 哪些 观众 参与 度 指标 对 QE 影响 最 大 ， 从 而 有 助 于 指导 传输 基础 设施 
的 设计 。 其 次 ， 他 们 也 乐于 快速 定位 和 解决 服务 中 断 以 及 其 他 质量 问题 。 编 码 器 的 突然 失灵 
问题 会 被 复制 和 传染 到 ISP 以 及 不 同 的 传输 基础 设施 中 ， 进 而 影响 所 有 客户 。 运 营 商 因 此 也 
想 知 道 这 种 影响 的 规模 到 底 有 多 大 ， 会 怎样 影响 用 户 的 参与 。 最 后 ， 他 们 还 想 掌握 某 个 区 域 
内 容 户 的 群体 特征 (连接 方式 、 设 备 类 型 、 消 耗资 源 的 比特 率 )， 这 样 他 们 的 资源 才能 实现 
有 效 配 置 。 

QoE 的 热衷 者 主张 QoE 测量 应 当 采 用 路 学 科 的 方法 ， 该 方法 试图 在 感知 、 社 会 学 和 用 
户 心理 等 一 般 规律 的 基础 上 解释 它 的 结论 。 如 果 使 用 端 用 户 设备 分 析 法 来 测量 QoE， 还 存在 
一 些 无 法 解释 的 情况 〈 例 如 为 什么 用 户 退 出 服务 )， 用 户 退出 服务 可 能 只 是 因为 对 节目 内 容 
不 感 兴趣 ， 而 并 不 是 由 于 QoE 质量 差 。 

一 种 解决 这 类 情况 的 方法 是 使 用 一 部 分 视频 进行 参与 度 测量 ， 因 为 它们 能 进行 客观 的 测 
量 。 那 些 早期 退出 观众 所 产生 的 数据 就 可 以 从 后 续 的 分 析 中 删除 ， 这 样 就 能 对 QoE 测量 如 
何 影 响 观 众 参与 度 有 更 为 清晰 的 理解 。 


11.7.4 ”QoE 测量 方法 小 结 


MOS (mean opinion score， 平 均 意 见得 分 ) 被 认为 是 QoE 表 11-2 五 分 制 MOS 评级 
事实 上 的 评价 标准 ， 这 主要 是 因为 它 长 期 以 来 在 电话 网 中 所 确 
立 的 地 位 ， 此 外 它 被 广泛 接受 还 在 于 它 易于 理解 。 目 前 有 多 
种 不 同类 型 的 MOS 值 和 不 同 的 测试 方法 ,在 2014 年 发 布 的 
ITU-T 规范 P 913“ 任 意 环境 中 因特网 视频 及 电视 的 视频 质量 、 
音频 质量 和 视听 质量 的 主观 评价 方法 ”中 介绍 了 更 多 的 细节 。 表 
11-2 显示 了 当前 常用 的 五 分 制 评级 MOS 方法 。 

MOS 值 是 某 个 用 户 组 对 给 定 QoS 测试 条 件 的 平均 观点 ， 它 不 必 是 单个 用 户 的 观点 分 
值 ， 因 为 不 同 的 用 户 会 有 不 同 的 观点 ;置信 区 间 等 统计 特征 的 不 确定 性 信息 通常 也 会 附加 在 
其 中 。MOS 是 只 能 从 实验 和 测试 对 象 组 中 获得 的 特征 。 

MOS 需要 根据 特定 背景 来 理解 。 首 先 ， 在 主观 实验 中 ， 从 特定 QoS 测试 条 件 中 获得 的 
MOS 值 取 决 于 实验 中 Qos 测试 条 件 的 范围 ， 因 为 测试 对 象 在 实验 中 需要 根据 评分 范围 进行 
调整 。 因 此 一 个 设计 合理 的 实验 应 当 在 实验 开始 时 有 一 个 训练 周期 ， 而 且 测 试 条 件 应 当 包括 
最 好 和 最 差 的 条 件 ， 从 而 将 前 面 提 到 的 行为 的 影响 控制 到 最 小 。 

将 从 不 同 实验 中 得 到 的 MOS 分 数 直 接 进 行 对 比 通常 是 没有 意义 的 ， 只 有 当 这 些 实验 在 
设计 时 就 考虑 需要 对 比 ， 对 比 才 会 有 意义 。 从 这 些 特 殊 配 置 的 实验 中 得 到 的 数据 必须 通过 研 
究 并 表明 进行 MOS 对 比 在 统计 上 是 有 效 的 。 由 于 测试 对 象 之 间 存 在 差异 (例如 年 龄 和 技术 
经 历 、 测 试 环境 和 测试 条 件 的 引信 次 序 等 )， 在 评分 尺度 的 理解 上 会 存在 偏差 。 
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采用 不 同 主观 背景 训练 和 优化 的 不 同 客观 模型 对 相同 的 QoS 条 件 可 能 会 预测 出 不 同 的 
MOS 值 ， 客 观 模型 通常 都 是 针对 特定 的 质量 特征 范围 建立 和 优化 。 因 此 ， 只 有 在 MOS 模型 
背景 下 选择 冰 值 才能 保证 MOS 预测 和 闽 值 之 间 的 对 比 是 可 行 的 。 

客观 评价 法 提供 了 实时 的 QoE 测量 技术 ， 而 端 用 户 设 备 分 析 法 则 是 另 一 种 可 行 的 QoE 
测量 方法 。 当 前 ， 端 用 户 设 备 分 析 法 作为 一 种 QE 测量 方法 仍然 缺少 可 参考 的 方法 论 ， 这 
和 MOS 在 主观 评价 和 客观 评价 中 的 情况 很 相似 。 

对 QoE 测量 技术 发 展 的 一 个 限制 性 因素 是 使 用 服务 提供 商 数据 库 的 版 权 问题 ， 这 些 版 
权 都 掌握 在 服务 提供 商 那里 ， 这 给 研究 者 、 服 务 提供 商 和 传输 基础 设施 设计 者 开发 更 好 的 传 
输 基 础 设施 带 来 了 挑战 。 

主观 实验 可 能 仍然 是 最 为 精确 的 QE 测量 方法 ， 也 是 获得 可 用 于 基准 客观 QoE 模型 的 
真实 可 靠 基础 数据 的 唯一 方法 。 


11.8 QoE 的 应 用 


根据 主要 用 途 可 以 将 QoE 的 实际 应 用 划分 为 以 下 两 类 。 
e 服务 QoE 监视 : 服务 监视 让 支持 团队 (服务 提供 商 和 网 络 运 营 商 ) 可 以 持续 地 监视 
用 户 所 感受 的 服务 体验 质量 ， 当 QoE 降 到 一 个 特定 阀 值 之 下 时 ， 服 务 告 警 信息 会 发 
送 给 支持 团队 ， 这 样 支持 团队 就 能 快速 找到 并 解决 服务 中 断 和 其 他 QoE 问题 。 

根据 被 监视 服务 的 使 用 案例 ， 这 些 监 视 工 具 可 以 部 署 在 内 容 分 发 生态 系统 的 任 
意 结 点 或 所 有 结 点 上 。 这 些 结 点 可 以 在 前 端 输 入 处 、 分 发 网 络 以 及 端点 处 ， 这 种 方 
法 可 能 会 引信 较 高 的 针对 每 个 用 户 监视 开销 。 
以 QoE 为 中 心 的 网 络 管理 : 在 出 现 QE 衰退 问题 时 ， 对 用 户 体验 进行 控制 和 优化 的 
能 力 是 QoE 网 络 管理 的 “ 必 杀 技 ”。 在 总 体 QoE 由 多 个 方面 决定 的 情况 下 (例如 子 
网 的 网 络 状况 、 应 用 级 QoS、 设 备 能 力 和 用 户 群 体 特征 )， 一 大 挑战 是 为 网 络 或 服务 
提供 商 提 供 有 用 的 QoE 信息 反馈 。 
以 QoE 为 中 心 的 网 络 管理 可 以 从 以 下 两 种 方法 来 设计 : 
m 在 第 一 种 方法 中 ，QoS 的 测量 值 和 一 些 合 理 的 假设 一 起 用 于 计算 用 户 期 望 的 QoE。 
里 第 二 种 方法 中 ， 在 一 定 程度 上 与 第 一 种 方法 相反 ， 它 利用 用 户 的 目标 QoE 和 一 些 

合理 的 假设 一 起 对 所 需 的 QoS 值 进行 评估 。 

第 一 种 方法 可 以 用 于 服务 提供 商 ， 这 样 他 们 就 能 根据 客户 所 期 望 的 QoE 水 准 提供 一 系 
列 QoS 产品 。 

第 二 种 方法 可 用 于 客户 ， 他 们 对 所 需 的 QoE 进行 定义 ， 然 后 确定 什么 样 的 服务 水 平 能 
满足 这 种 需求 。 

图 11-5 列举 了 一 个 场景 ， 在 该 场景 中 用 户 可 以 从 一 系列 服务 中 进行 选择 ， 这 些 服务 包 
括 所 需 的 服务 等 级 (SLA). 与 完全 基于 QoS 的 管理 相 比 ， 这 里 的 SLA 不 需要 用 原始 的 网 络 
参数 来 表达 ， 相 反 ， 用 户 对 QoE 目标 进行 标志 ， 然 后 服务 提供 商 将 该 QoE 目标 和 所 选 的 服 
务 类 型 映射 到 QoS 需求 上 。 

例如 ,在 多 媒体 流 服务 中 ， 用 户 可 以 在 两 个 QoE 级 别 (高 或 低 ) 中 进行 简单 的 选择 ， 服 
务 提供 商 然 后 选择 合理 的 质量 预测 模型 和 管理 策略 (例如 网 络 资源 耗费 最 小 化 )， 并 将 QoS 
请 求 转发 给 运营 商 。 网 络 可 能 无 法 保证 所 需 的 QoS 水 平 ， 这 样 就 无 法 达到 所 期 望 的 QoE， 
这 种 情况 会 引发 一 个 信号 反馈 给 用 户 ， 促 使 可 选 服务 /QoE 水 平 的 降低 。 
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是 否 可 用 ? 


持续 的 QoS 
监视 


服务 提供 商 网 络 运营 商 
图 11-5 以 QoE 为 中 心 的 网 络 管理 





假定 网 络 能 够 支撑 这 些 服务 ， 服 务 传 递 就 会 被 激活 。 在 服务 运行 期 间 ， 有 两 个 监视 和 控 
制 循环 在 并 发 运行 ， 一 个 在 网 络 层 ， 另 一 个 在 服务 层 。 后 者 允许 用 户 切换 到 不 同等 级 的 QoF 
上 (例如 获取 更 便宜 的 服务 或 请 求 更 高 质量 的 服务 )。 如 果 用 户 没有 明确 的 反馈 ， 这 意味 着 
用 户 需求 得 到 满足 ， 质 量 预测 模型 就 能 正常 工作 。 这 样 ， 质 量 预 测 模型 就 能 在 服务 传递 期 间 
不 断 改 进 ， 并 随 着 用 户 需求 和 设备 变化 逐步 进化 。 


11.9 ”重要 术语 
学 完 本 章 后 ， 你 应 当 能 够 定义 以 下 术语 。 


技巧 模式 情景 体验 体验 质量 
认 知 感知 事件 
319 QoE 测量 主观 评价 客观 评价 
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Foundations of Modern Networking: SDN, NFV, QoE, IoT, and Cloud 
QoS 和 QoE 对 网 络 设计 的 影响 


本 章 由 突尼斯 Monastir 大 学 助理 教授 Sofiene Jelassi HB 


但 是 一 些 奇 妙 的 经 历 打 破 了 他 与 生 俱 来 的 沉着 ， 让 他 头发 竖立 、 满 脸 通 红 、 表 
情 愤怒、 举止 慌张 、 表 现 激动 。 
一 一 《 威 斯 特 里 亚 富 所 》 Arthur Conan Doyle Ñ+ 


本 章 目标 

学 完 本 章 后 ， 你 应 当 能 够 : 

© 将 QoS 测度 转换 为 QoE 测度 。 

o 为 特定 的 运 维 环境 选择 合适 的 QoE/QoS 映射 模型 。 

e 在 特定 的 基础 设施 上 部 署 以 QoE 为 中 心 的 监视 方案 。 

e 在 以 QoE 为 中 心 的 基础 设施 上 部 署 具 有 QoE 感知 的 应 用 。 

本 章 通过 结合 服务 质量 和 体验 质量 并 探讨 这 两 个 概念 在 实际 中 的 意义 来 对 第 四 部 分 进行 
总 结 。 本 章 的 内 容 组 织 结构 如 下 : 12.1 节 从 实用 的 角度 对 现 有 的 QoS/QoE 映射 模型 进行 了 
分 类 ; 12.2 节 列 举 了 一 些 面向 IP 的 QoE/QoS 映射 模型 ， 这 些 模型 主要 用 于 视频 服务 ; 12.3 
节 探 讨 了 一 些 可 用 于 将 QoE 功能 增加 到 网 络 和 服务 中 的 方法 ; 12.4 和 12.5 节 分 别 叙述 了 以 
QoE 为 中 心 的 监视 和 管理 方案 。 


QoE/QoS 映射 模型 ”将 QoS 测度 转换 为 QoE 测度 的 功能 模型 。 


12.1 QoE/QoS 映射 模型 的 分 类 


通常 来 说 ， 会 用 一 些 数学 模型 来 定义 QoS 和 QoE 之 间 在 经 验 上 的 关系 ， 这 些 模型 称 为 
QoE/QoS 映射 模型 或 质量 模型 ， 这些 模型 是 通过 回归 分 析 、 人 工 神经 网 络 、 贝 叶 斯 网 络 等 
经 典 方法 对 数据 集 进行 拟 合 而 得 到 。 现 在 ， 在 各 类 文献 中 已 经 有 很 多 QoE/QoS 映射 模型 ， 
这 些 模型 在 输入 、 工 作 模 式 、 准 确 性 、 应 用 领域 等 方面 各 有 不 同 。QoE/QoS 映射 模型 的 应 
用 领域 很 大 程度 上 取决 于 它们 的 输入 ,根据 这 些 输 入 ， 可 以 将 QoE/QoS 映射 模型 分 为 以 下 
三 类 ; 

o 黑 盒 媒 体 模型 

e 白 盒 参 数 模型 

e 厌 盒 参数 模型 

后 面 将 介绍 这 些 模型 。 


12.1.1 基于 黑 盒 媒体 的 QoS/QoE 映射 模型 
黑 盒 媒体 质量 模型 主要 依靠 对 从 系统 入 口 和 出 口 收 集 到 的 媒体 信息 进行 分 析 ， 因 此 ， 这 
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些 模型 会 隐 式 地 考虑 被 检查 的 媒体 处 理 系统 的 特征 。 这 些 模 型 又 可 以 分 为 以 下 两 类 。 

。 双 向 或 全 参考 质量 模型 : 这 些 模型 使 用 全 新 的 刺激 和 相应 的 退化 刺激 作为 输入 (如 图 

12-1a 所 示 )， 它 们 在 感知 域 中 对 全 新 的 和 退化 的 刺激 进行 对 比 ， 这 里 的 感知 域 解释 了 
人 类 感觉 系统 的 心理 物理 功能 。 感 知 域 是 针对 用 户 感知 特点 而 在 时 间 和 频率 上 进行 
的 转换 ， 总 体 来 说 感知 距离 越 大 ， 退 化 的 程度 越 大 。 这 个 模型 需要 将 全 新 刺激 和 退 
化 的 刺激 相 结 合 ， 因 为 对 比 是 在 单个 模块 基础 上 进行 的 。 这 些 刺 激 的 结合 应 当 是 自 
主 实现 的 ， 也 就 是 说 ， 不 需要 额外 的 控制 信息 对 刺激 结构 进行 描述 。 
单 向 或 无 参考 质量 模型 : 这 些 模型 仅仅 依靠 退化 的 刺激 来 对 最 终 的 QoE 值 进行 评估 。 
这 些 模型 通过 解析 退化 的 刺激 从 而 提取 出 观察 到 的 失真 ， 这 些 失真 取决 于 媒体 类 型 ， 
例如 音频 、 图 像 和 视频 。 举 个 例子 ， 从 音频 刺激 中 提取 的 失真 包括 哺 声 、 电 路 噪声 、 
回声 、 停 滞 、 拍 打 声 、 中 断 和 暂停 (如 图 12-1b 所 示 )。 这 些 采集 到 的 失真 可 以 结合 
和 转换 从 而 计算 QoE 值 。 

黑 盒 质量 模型 的 主要 优点 是 ， 它 们 能 利用 从 paR 
特定 媒体 处 理 系统 边缘 收集 到 的 信息 来 测量 QoE， 
因此 可 以 在 不 同 基 础 设施 和 技术 上 以 通用 的 方式 
使 用 ， 这 就 避 开 了 底层 系统 复杂 和 难以 处 理 的 测 
量 过 程 。 此 外 ， 这 种 方式 还 可 以 无 条 件 地 增强 质 





输出 媒体 
量 模型 ， 也 就 是 说 ， 它 与 和 测量 过 程 相关 的 技术 ep 


和 道德 约束 是 相互 独立 的 ， 而 且 黑 盒 质 量 模型 可 输入 媒体 


以 很 容易 地 用 于 每 个 用 户 或 每 个 内 容 。 
黑 盒 质量 模型 的 主要 缺点 是 需要 获取 刺激 的 
最 终 表 现 ， 这 在 实际 当中 由 于 隐私 等 原因 通常 是 
不 可 获得 的 。 此 外 ， 全 参考 质量 模型 使 用 全 新 的 b) 单 向 或 无 参考 质量 模型 
刺激 作为 输入 ， 而 这 些 刺 激 在 系统 的 输出 端 也 常 图 12-1 ”基于 黑 盒 媒 体 的 QoS/QoE 映射 模型 
常 是 不 可 用 或 很 难得 到 的 ， 这 个 问题 可 以 通过 无 
参考 质量 模型 来 解决 ， 但 是 这 些 模型 未 经 检验 ， 性 能 也 不 稳定 ， 这 会 限制 它们 的 有 效 性 。 
全 参考 黑 盒 质量 模型 已 经 广泛 应 用 于 网 络 设备 的 现场 基准 测试 、 诊 断 和 调节 中 ， 在 这些 
环境 下 ， 可 以 获得 全 新 的 刺激 。 无 参考 质量 模型 可 用 于 相同 的 目的 ， 但 是 它们 的 准确 性 有 
限 ， 这 降低 了 它们 结果 的 可 信 性 。 黑 盒 质 量 模型 可 用 于 离线 的 应 用 层 组 件 的 评价 ， 例 如 编 解 
far, Ets (PLC) 和 缓存 机 制 ， 而 无 参考 黑 盒 模型 可 用 于 在 线 的 QoE 监视 。 


12.1.2 ”基于 白 盒 参数 的 QoS/QoE 映射 模型 


白 盒 参 数 质 量 模 型 通过 描述 底层 传输 网 络 和 边缘 设备 特征 对 特定 服务 的 QoE 进行 量化 ， 
这 些 需 要 考虑 的 特征 参数 和 它们 的 组 合 规则 是 通过 扩展 的 主观 实验 和 全 面 的 统计 分 析 得 到 
的 。 根 据 特定 测量 时 刻 特 征 参 数 的 可 用 性 ， 白 盒 模型 可 以 离线 或 在 线 运行 ， 这 些 特征 参数 包 
括 噪声 、 丢 包 、 编 码 方式 、 单 向 时 延 、 时 延 抖 动 等 。 相 对 于 黑 盒 媒体 模型 来 说 ， 白 盒 参数 模 
型 一 般 准确 性 更 低 ， 粒 度 也 更 粗 。 

一 种 广为人知 的 离线 白 盒 模 型 是 E 模 型 ， 它 是 由 ITU-T 在 Rec. G.107 规范 中 定义 的 。 
E 模型 的 目标 是 对 某 个 传输 基础 设施 上 传递 的 话音 QoE 进行 评估 (具体 参见 2007 年 出 版 的 
《 王 模型 : 一 种 在 传输 规划 中 使 用 的 计算 模型 》)， 主 流 的 E 模型 包括 21 个 基本 特征 参数 。E 
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模型 提供 了 梯 状 分 值 ， 称 为 评分 因子 R， 它 介 于 0 (最 差 结 果 ) 和 100 (最 好 结果 ) 之 间 。 在 
实际 中 ， 应 当 避 免 出 现 会 导致 评分 因子 低 于 60 的 传输 配置 ， 这 时 需要 采取 某 些 行动 来 提高 
话音 的 QoE。 基 本 的 特征 参数 分 为 同步 、 设 备 和 时 延 损伤 因子 ,分 别 用 I.、I. 和 三 种 符号 
来 表示 ， 其 中 I 对 损伤 进行 量化 ， 结 果 取 决 于 量化 与 压缩 等 话音 信号 的 特征 ; I 对 丢 包 和 中 
断 等 设备 引发 的 损伤 进行 量化 ; 1, 对 时 延 和 响应 引发 的 损伤 进行 量化 。ITU-T Rec. G.107 为 
每 个 基本 参数 和 数学 表达 式 给 出 了 取 值 的 范围 ， 这 就 可 以 对 每 个 损伤 因子 的 值 进行 计算 。 为 
了 简化 ，E 模型 假定 损伤 因子 的 感知 效应 在 心理 尺度 上 是 加 性 的 ， 因 此 ， 最 后 的 评分 结果 R 
通过 公式 R=Ru-L-I.-Is 来 计算 ， 其 中 Ry 是 指 在 无 失真 条 件 下 用 户 的 满意 度 。 

离线 白 盒 参 数 质量 模型 适用 于 规划 等 目的 ， 在 早期 它们 能 描绘 话音 传输 系统 的 QoE fA, 
但 是 对 于 服务 监视 和 管理 来 说 ， 采 用 在 线 模 型 更 为 合适 。 在 这 种 情况 下 ， 需 要 在 运行 时 获取 
会 发 生 改变 的 模型 参数 ， 这 特别 适合 基于 IP 的 服务 ， 在 这 些 服 务 中 ， 一些 诸如 序号 、 时 间 
瀹 等 控制 数据 都 包含 在 每 个 分 组 的 首部 。 在 这 种 环境 中 ， 可 以 从 信 令 消息 提取 出 静态 特征 参 
数 ， 并 在 目的 端口 收 到 的 分 组 中 提取 出 动态 特征 参数 ， 这 样 不 通过 会 涉及 隐私 问题 的 媒体 内 
容 就 可 以 获取 这 些 参数 。 这 一 类 模型 将 在 12.2 节 中 进行 更 详细 的 介绍 。 


12.1.3 TRE QoS/QoE 映射 模型 


盒 质 量 模型 结合 了 黑 盒 模 型 和 白 盒 模型 
输入 媒体 元 信息 
的 优点 ， 它 在 系统 的 输出 端 对 基本 的 特征 参数 
进行 采样 ， 并 获取 一 些 刻画 了 全 新 刺激 结构 的 
控制 数据 (如 图 12-2 所 示 )， 这 些 控制 数据 可 
以 通过 专门 的 控制 分 组 来 发 送 ， 也 可 以 通过 
在 媒体 分 组 中 以 撒 带 的 方式 传输 ， 所 以 ， 与 特 输出 媒体 
定 内 容 相关 的 重要 感知 信息 可 以 考虑 采用 灰 盒 图 12-2 IRA QoS/QoE 映射 模型 
质量 模型 。 这 些 模型 可 以 在 每 个 内 容 的 基础 上 
对 QoE 进行 测量 。 在 部 署 容易 、 准 确 性 合理 的 情况 下 ， 这 一 类 QoS/QoE 映射 模型 可 以 快速 
增殖 。 
通常 来 说 ， 爱 立信 、 德 国电 信 、 英 国电 信 等 大 型 电信 运营 商会 研发 和 有 的 QoS/QoE 映 
射 模型 实现 方案 和 相关 的 软件 工具 ， 从 而 获取 、 记 录 和 分 析 测 量 结果 以 满足 自己 的 特定 需 
求 。 但 是 ， 大 部 分 电信 运营 商会 将 传输 基础 设施 、 服 务 和 设备 的 评估 工作 委托 给 专门 的 公 
司 来 完成 ， 这 些 公司 包括 GL. OPTICOM, Telchemy 和 HEAD Acoustics 等 。 在 实际 当中 ， 
QoS/QoE 映射 模型 应 当 能 够 维护 并 进化 ， 从 而 适用 于 新 的 技术 或 使 用 场景 。 


12.1.4 QoS/QoE 映射 模型 选择 小 贴 士 


下 列 五 项 检查 列表 对 于 选择 QoS/QoE 映射 模型 有 帮助 : 

© 我 在 考虑 哪 一 类 运 维 ? 

© 我 有 哪些 参数 ? 我 是 否 能 访问 这 些 信 令 、 内 容 、 分 组 载荷 或 首部 ? 
e 我 是 否 希望 有 规范 和 使 用 条 件 来 使 用 特定 的 映射 模型 ? 

。 我 需要 达到 怎样 的 精确 度 ? 

© 对 选中 的 映射 模型 是否 所 有 输入 对 我 都 是 可 用 的 ? 





QoE 
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12.2 面向 IP 的 参数 QoS/QoE 映射 模型 


IP 网 络 和 应 用 的 QoE 测量 领域 仍 处 于 初期 发 展 阶段 ， 但 是 多 媒体 和 用 户 友 好 的 IP 服务 
的 流行 让 QoE 成 为 当前 生态 系统 关注 的 核心 。 相 对 于 传统 的 面向 内 容 的 电信 系统 (例如 公 
共 交 换 电话 网 [PSTN]、 无 线 电 广播 和 电视 ) 来 说 ，IP 网络 承载 了 更 多 新 的 媒体 内 容 ， 这 些 
内 容 都 包含 在 由 分 组 构成 的 流 中 ， 每 个 分 组 又 由 首部 和 载荷 组 成 ， 从 服务 器 端 发 往 各 个 目的 
结 点 。 因 此 ， 在 网 络 层 以 及 应 用 层 所 采集 的 参数 在 用 户 设 备 运行 时 也 能 很 容易 地 获得 ， 这 
就 可 以 采用 在 线 白 盒 或 灰 盒 参数 质量 模型 在 运行 时 对 QoE 进行 测量 。 相 对 于 电信 网 络 来 说 ， 
IP 网 络 中 的 QoE 会 随时 间 产 生变 化 ， 这 一 特征 使 我 们 不 得 不 考虑 瞬时 的 和 总 体 的 QoE， 其 
中 前 者 是 指 在 很 短 的 时 间 内 (一 般 是 8 ~ 20 秒 ) 所 测 得 的 QoE， 后 者 是 指 贯穿 整个 会 话 (一 
般 是 1 ~ 3 分 钟 ) 所 测 得 的 总 体 QoE。 接 下 来 会 介绍 几 个 IP 视频 流 应 用 的 在 线 白 盒 参数 质 
量 模 型 案例 。 


12.2.1 用 于 视频 服务 的 网 络 层 QoE/QoS 映射 模型 


网 络 层 QoS/QoE 映射 模型 只 依赖 除 应 用 层 以 外 的 TCP/IP 协议 栈 (也 即 运输 层 、 网 
络 层 、 链 路 层 和 物理 层 ) 所 收集 的 NQoS 测度 。 在 2010 年 由 Ketyko 等 人 发 表 的 论文 
[KETY10] 中 ， 他 们 提出 了 下 列 参 数 质量 模型 来 对 3G 环境 中 的 视频 流质 量 进行 评估 : 

QoE =8.49-0.02: AL—0.01- VL—1.12- AJ +0.04-RSSI A (12-1) 

其 中 AL 和 VL 分 别 表示 音频 和 视频 的 丢 包 率 ，AJ 和 VJ SRR E A) EF 
动 ，RSSI 是 指 接收 到 的 信号 强度 。2014 年 ，Kim 和 Choi 发 表 的 论文 [KIM14] 提出 了 一 种 
用 于 在 3G 网 络 中 传输 IPTV 的 两 阶段 QoE/QoS 映射 模型 ， 其 中 的 第 一 阶段 包括 将 基础 QoS 
参数 组 合 为 一 个 测度 ,具体 如 下 : 

QoS(L,U,J,D,B)=K{W, -L+W,, -U+W, -J+W, -D+W, -B} K (12-2) 

其 中 L、U、J、D 和 B 分 别 表示 丢 包 、 突 发 程度 、 时 延 拌 动 、 时 延 和 带宽 ， 常 数 KK、 
Wi. Wo. Wy. Wi 和 W 分 别 是 预先 定义 的 加 权 系 数 ， 它 们 取决 于 接 入 网 的 类 型 ( 即 有 线 还 
是 无 线 )。 第 二 阶段 包括 计算 QoE 的 值 ， 具 体 如 下 : 

QoE(QoS(X)) = Q,(1- QoSX) PN A (12-3 ) 

其 中 ，X 是 参数 {L, U, J, D, B) 构成 的 向 量 ，Q, 为 标量 ， 它 限制 了 从 屏幕 显示 尺寸 /分 
辩 率 获得 的 IPTV QoE 范围 ， 常 数 A 表示 订阅 的 服务 类 型 ， 常 数 R 反映 了 视频 帧 的 结构 。 


12.2.2 ”用 于 视频 服务 的 应 用 层 -QoE/QoS 映射 模型 


除了 NQoS 参数 以 外 ， 应 用 层 QoE/QoS 映射 模型 还 使 用 了 从 应 用 层 收 集 到 的 测度 

( AQoS)。 此 外 ， 该 模型 还 可 以 在 用 户 与 特定 视频 内 容 交 互 时 解释 用 户 的 行为 。2014 年 由 
Ma 等 人 发 表 的 论文 [MA14] 提出 了 一 个 视频 流 媒体 应 用 质量 模型 具体 如 下 : 

QoE = 4023- 0.0672L, ~ 0.742(Nos + Nae)— 0-106T 4p À (12-4) 


其 中 工 , 表示 启动 时 延 ， 也 即 在 视频 开始 播放 前 所 等 待 的 时 间 ，Nos 是 质量 切换 的 数量 ， 
也 即 视频 比特 率 在 会 话 过 程 中 出 现 变 化 的 次 数 ，Nrs 是 出 现 重新 缓存 事件 的 数量 ，Twn 是 指 
重新 缓存 花费 的 平均 时 间 。2009 年 Khan 等 人 的 论文 [KHAN14] 提出 的 质量 模型 可 以 对 无 线 
网 络 中 采用 MPEG4 编码 的 通用 流 媒体 内 容 视频 进行 评价 ， 具 体 如 下 : 
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a, +a,FR +a, -In(SBR) 
I+a, -PER +a, (PER)? R (12-5) 
其 中 FR, SBR 和 PER 分 别 表示 应 用 层 采样 的 帧 速率 、 发 送 的 比特 速率 和 网 络 层 采样 的 
分 组 错误 率 ， 从 a ~ as 的 系数 用 于 对 质量 模型 进行 校准 。 该 模型 已 得 到 改进 ， 以 考虑 慢 放 、 
普通 和 快 放 三 类 视频 ， 改 进 后 的 质量 模型 如 下 所 示 : 
b-e™ +c¢-In(SBR)+CT -(d+e-In(SBR 
Stas eet i Ay 12-6) 
其 中 a、b、c、d、e、f、g 都 为 常数 ，CT 为 视频 内 容 的 类 型 ，SBR 和 BLER 分 别 表示 
发 送 的 比特 速率 和 比特 丢失 错误 率 。 该 模型 适用 于 在 UMTS 网 络 上 采用 H.264 编码 传输 的 
视频 流 媒体 服务 。 
Kuipers 等 人 在 [KUIP10] 中 针对 IPTV 提出 了 QoE/QoS 映射 模型 ， 该 模型 考虑 了 启动 
时 延 和 因 广 告 而 产生 的 频道 切换 时 间 ， 其 中 频道 切换 时 间 的 定义 是 指 切换 电视 频道 的 频率 。 
模型 具体 如 下 所 示 : 


QoE(FR,SBR, PER) = 


QoE(FR,SBR, BLER, CT) =a+ 


QOE,,spping=a"In(ZT)+b A (12-7) 
其 中 QOE yapping 是 考虑 因 广 告 而 切换 频道 行为 的 一 维 QoE 分 向 量 ，ZT 是 以 秒 为 单位 的 切 
换 时 间 ，a 和 b 是 可 正 可 负 的 数字 常量 。 最 后 ， 是 Hossfeld 等 人 在 论文 [HOSS13] 中 提出 的 
质量 模型 ， 该 模型 考虑 到 了 停顿 事件 ， 停 转 事 件 是 指 播放 视频 流 媒体 过 程 中 无 意 的 暂停 ， 该 
模型 具体 如 下 所 示 : 
QoE = 3.5e VEAN tiS A (12-8) 
其 中 工 是 指 平均 停顿 持续 时 间 ，N 是 指 停顿 事件 的 次 数 。 


12.3 IP 网 络 的 可 操作 QoE 


本 节 主 要 介绍 可 操作 QoE (actionable QoE)， 它 指 所 有 能 实现 精确 测量 和 使 用 QoE M 
度 的 技术 与 机 制 。 可 操作 QE 已 经 超越 了 QE 的 定义 和 测量 。 一 种 可 操作 QE 方案 很 大 程 
度 上 取决 于 底层 系统 和 服务 特征 。 此 外 ， 可 操作 QoE 方案 工作 在 结合 了 数据 平面 、 控 制 平 
面 和 管理 平面 的 多 平台 架构 上 。 当 前 主要 有 两 种 方案 用 于 实现 可 操作 QoE: 

© 面向 系统 的 可 操作 QoE 方案 

© 面向 服务 的 可 操作 QoE 方案 


可 操作 QoE AERA RH QE WH, 





12.3.1 面向 系统 的 可 操作 QoE 方案 


面向 系统 的 可 操作 QoE 方案 负责 传输 基础 设施 内 部 的 QoE 测量 。 在 这 种 条 件 下 ， 服 务 
在 设计 时 假定 底层 系统 是 完善 的 ， 也 就 是 说 不 存在 性 能 下 降 的 情况 。 图 12-3 说 明了 一 个 面 
向 系统 的 可 操作 QoE 方案 环境 。 在 图 中 ， 可 操作 QoE 方案 需要 : (1) QoS 测量 模块 从 底 
层 系统 收集 基本 的 关键 性 能 指标 (key performance indicator, KPI); (2) QoE/QoS 映射 模 
型 ; (3 ) 被 管 设备 的 资源 管理 模块 。 每 个 服务 提供 商都 指定 了 提供 给 客户 的 目标 QoE 等 级 。 
QoE/QoS 映射 模型 应 当 根 据 某 种 保证 来 选择 ， 具 体 是 :( a) 要 能 保证 质量 模型 输入 参数 的 可 
用 性 ; (b) 要 保证 遵循 服务 规范 和 相应 条 件 。 这 些 可 以 通过 执行 信 令 程序 来 完成 。 管 理 程序 
可 以 在 服务 开始 前 或 者 服务 传输 过 程 中 执行 ,涉及 给 定 基础 设施 中 所 有 可 配置 的 参数 ， 例 如 
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优先 级 、 标 记 国 值 、 流 量 整 形 等 。 上 述 过 程 应 当 利用 自主 决策 系统 来 实现 ， 该 系统 还 包括 将 
观测 到 的 QoE 测量 结果 映射 到 由 被 管 设备 执行 的 行为 过 程 的 策略 。 


关键 性 能 指标 ”能 反映 某 个 机 构 重 要 成 功 因素 的 可 计量 的 测量 结果 。 


这 种 运行 模式 非常 适用 于 软件 定义 网 络 (SDN), AX SDN 中 的 网 络 路 径 都 由 SDN 控 
制 器 来 管理 ， 在 这 种 情况 下 ,测量 得 到 的 QoE 值 可 以 上 报 给 SDN 控制 器 ， 然 后 控制 器 利用 
这 些 结果 对 SDN 交换 机 的 行为 进行 定义 。SDN 控制 器 应 当 包含 QoE 策略 和 规则 模块 来 完成 
以 下 工作 :〈1 ) 检查 是 否 每 个 用 户 /每 条 流 约定 的 QoE 等 级 都 得 到 满足 ; (2) 指定 用 于 转 
发 用 户 数 据 流 的 SDN 路 径 。QoE 策略 和 规则 模块 还 应 当 考 虑 同时 跨越 了 支持 SDN 和 不 支持 

330) SDN 域 服务 的 情况 。 


目标 QoE 







QoE 网 络 监 视 
QoE 测度 


图 12-3 一 个 提供 以 QoE 为 中 心 的 服务 的 环境 


12.3.2 面向 服务 的 可 操作 QoE 方案 


面向 服务 的 可 操作 QoE 方案 负责 在 端 结 点 和 服务 器 处 测量 QoE 的 值 (如 图 12-4 所 示 )。 
在 这 种 情况 下 ， 服 务 设计 时 要 解决 底层 系统 的 缺陷 以 达到 指定 的 QoE 等 级 ， 服 务 可 以 根据 
当前 背景 和 条 件 改变 它们 的 行为 。KPI 测 量 模块 安装 在 端 结 点 处 ，QoE/QoS 映射 模型 可 以 部 
署 在 端 结 点 或 专用 设备 上 。 测 量 得 到 的 QoE 值 会 被 发 送 给 端 结 点 从 而 在 发 送 方 、 代 理 和 接 
收 方 配置 不 同 的 应 用 模块 。 

面向 服务 的 可 操作 QoE 方案 有 许多 优点 。 首 先 ， 它 可 以 执行 针对 每 个 服务 、 每 个 用 户 
和 每 个 内 容 的 QoE 监视 及 管理 方案 ， 从 而 提供 特定 的 QoE 等 级 。 其 次 ， 它 的 调节 能 力 更 
强 ， 因 为 它 能 准确 分 清 每 个 服务 组 件 的 功能 和 所 扮演 的 角色 。 第 三 ， 它 减少 了 通信 的 开销 ， 
并 均衡 了 计算 的 负载 。 最 后 ， 除 了 流 和 分 组 级 的 QoE 处 理 之 外 ， 它 还 实现 了 组 件 级 的 QoE 
处 理 。 但 是 ， 这 种 方案 无 法 应 用 于 正在 运行 的 服务 中 ， 这 就 给 服务 设计 和 规划 带 来 了 更 高 的 

复杂 性 。 
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图 12-4 具有 服务 感知 的 QoE 部 署 方法 


12.4 QoE 与 QoS 服务 监视 对 比 


监视 是 当前 IT 系统 应 当 支 持 的 策略 功能 ， 它 会 返回 指示 值 ， 并 提供 与 系统 性 能 及 工作 

载荷 相关 的 信息 。 此 外 ， 它 还 可 以 检测 系统 功能 失常 、 故 障 以 及 运行 不 佳 的 设备 和 应 用 ， 并 
采取 最 佳 的 操作 。 当 前 IT 系统 的 监视 方案 可 以 分 为 以 下 四 类 (如 图 12-5 所 示 )。 

o 网 络 监视 : 提供 了 对 路 径 和 链 路 性 能 的 测量 ,这些 路 径 和 链 路 用 于 传输 媒体 单元 。 这 

些 测量 信息 在 分 组 处 理 设备 〈 路 由 器 和 交换 机 ) 上 收集 得 到 ， 并 可 以 针对 每 个 流 或 每 

个 分 组 进行 操作 。 香 吐 量 、 丢 包 、 重 传 和 重复 分 组 、 时 延 、 时 延 抖动 等 描述 路 径 特 

征 的 测度 可 以 采用 从 分 组 首部 提取 的 原始 测度 计算 得 到 ， 这 些 原 始 测度 包括 序列 号 


和 时 间 戳 。 
o 基础 设施 监视 : 提供 了 对 设备 性 能 和 资源 状态 的 测量 ,例如 内 存 、CPU、 输 入 输出 、 
负载 等 。 


e 平台 监视 : 提供 了 计算 中 心 的 性 能 指示 信和 号， 后 端 服务 器 都 运行 在 计算 中 心里 ， 这 
种 类 型 的 监视 可 以 工作 在 虚拟 基础 设施 上 ， 商 业 应 用 以 虚拟 机 的 方式 部 署 在 这 些 虚 
拟 基础 设施 当中 。 

e 服务 监视 : 提供 了 对 服务 性 能 的 测量 ， 它 所 涉及 的 测度 取决 于 各 个 应 用 ， 而 且 可 以 
从 技术 或 感知 的 角度 来 实现 。 


服务 级 监视 测度 ， 例 如 编码 方式 、 压 缩 比 、 帧 类 型 
平台 级 监视 测度 ， 例 如 服务 响应 时 间 、 认 证 时 延 、Web 服 务 可 用 性 
基础 设施 级 监视 测度 ， 例 如 内 存 、CPU、IO 和 负载 

| 网络 级 监视 测度 ， 例 如 吞吐 量 、 丢 包 、 时 延 抖动 


图 12-5 ”监视 方案 的 分 类 


通常 来 说 ， 分 布 式 系统 中 的 监视 方案 包括 各 种 探 针 (probe)。 这 些 探 针对 参与 服务 传输 
链 的 给 定单 元 的 性 能 进行 测量 ， 它 们 根据 特定 的 策略 分 布 并 部 署 在 系统 中 ， 此 外 还 包含 能 远 
程 配置 探 针 行为 的 可 靠 的 、 可 扩展 的 管理 器 ， 特 别 是 从 测量 结果 上 报 的 频率 和 内 容 方 面 来 
说 。 探 针 一 般 都 恰 入 在 给 定 被 管 设备 或 组 件 中 (例如 SNMP 代理 )， 可 以 由 网 络 或 系统 管理 
员 配 置 ， 从 而 满足 特殊 的 环境 需求 。 探 针 通常 都 发 送 原子 的 最 基本 的 测度 给 管理 器 ， 然 后 由 
管理 器 将 其 转换 为 对 人 类 友好 的 测度 。 管 理 器 会 以 特定 格式 保存 所 有 测量 结果 的 日 志 ， 并 将 
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它们 存放 于 特定 位 置 。 


探 针 探 针 能 收集 传输 路 径 中 不 同 组 件 的 有 关 信息 ， 这 些 信息 一 般 与 性 能 相关 ( 例 
如 网 络 QoS、 服 务 器 负载 ) 但 是 它 也 可 以 与 应 用 级 因素 《例如 编码 方式 、 分 辩 率 ) 设备 
(例如 屏幕 分 辩 率 、 处 理 器 能 力 入 环境 《例如 周边 环境 的 服 明 、 运动 》 或 其 他 因素 相关 。 


监视 方案 应 当 为 管理 器 和 被 管 设 备 之 间 提 供 通信 功能 ， 管 理 器 和 被 管 实体 之 间 的 交互 通 
常 采 用 无 连接 的 UDP 协议 在 预 留 的 端口 上 实现 ， 现 在 的 方法 则 演变 为 采用 短 周期 的 HTTP 
连接 来 实现 。 探 针 被 定义 为 REST 类 服务 ， 管 理 器 可 以 对 其 进行 调用 。 此 外 ， 交 换 的 测量 报 
告 可 以 以 带 内 或 带 外 的 方式 实现 ， 前 一 种 方式 中 用 于 数据 传输 的 资源 进行 了 共享 ， 后 一 种 方 
式 则 使 用 了 专门 的 和 自主 的 设备 及 频道 来 完成 监视 工作 。 

图 12-6 显示 了 一 个 典型 的 按 需 监视 方案 解决 方案 ， 图 中 管理 器 接收 从 客户 发 送 过 来 的 
监视 请 求 ， 这 些 请 求 以 特定 的 语法 规则 表示 。 在 接收 到 新 的 监视 请 求 后 ， 管 理 器 查询 通用 描 
述 、 发 现 和 集成 (UDDI) 目录 来 获得 更 多 与 被 监视 服务 有 关 的 信息 ， 例 如 位 置 和 属性 。 监 
视 方案 以 及 一 系列 探 针 部 署 在 特定 的 基础 设施 上 ， 一旦 一 个 被 监视 组 件 被 预先 配置 的 注册 者 
激活 ， 它 们 会 自动 地 执行 注册 ， 注 册 者 会 保留 所 有 活跃 探 针 的 踪迹 和 特征 ， 这 些 探 针 应 当 由 
管理 员 离 线 配置 ， 从 而 在 服务 期 间 根据 特定 行为 上 报 相关 测度 ， 这 些 由 探 针 产生 的 测度 在 发 
送 到 管理 器 之 前 会 被 聚合 和 处 理 ， 然 后 由 管理 器 完成 数据 分 析 工 作 。 


服务 监视 请 求 





图 12-6 一 个 基本 和 通用 的 监视 方案 


传统 的 QoS 测度 可 以 在 网 络 层 、 基 础 设施 层 、 平 台 层 和 服务 层 测量 得 到 ， 但 是 QoE 测 
度 只 能 在 服务 层 测量 得 到 ， 因 为 只 有 该 层 可 与 最 终 的 用 户 交互 。 下 一 节 将 会 介绍 QoS 和 
QoE 监视 方案 的 最 新 技术 和 发 展 趋势 。 


12.4.1 QoS 监视 方案 


新 兴 的 QoS 监视 方案 基本 上 是 为 数据 中 心 和 云 平台 研发 的 ， 这 些 平台 都 支持 虚拟 化 技 
术 。 图 12-7 中 显示 了 一 个 网 络 级 和 基础 设施 级 的 监视 方案 ， 它 用 于 基于 云 的 IPTV 服务 ， 视 
听 内 容 服务 器 部 署 在 云 平台 中 ， 从 内 容 服务 器 发 送 到 IPTV 设备 的 流量 会 被 部 署 在 网 络 各 处 
的 vProbe 持续 监视 ， 每 个 vProbe 都 是 一 个 开放 的 检查 工具 ， 可 用 于 云 环境 中 对 管理 程序 的 
状态 以 及 运行 了 服务 业务 逻辑 的 虚拟 机 进行 监视 、 记 录 和 计算 ， 视 频 分 组 流 在 不 同 的 测量 点 
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被 解析 ，vProbe 收集 的 信息 随后 会 被 用 于 重建 服务 级 的 详细 记录 (SDR)， 每 条 记录 都 包含 
与 服务 器 和 用 户 之 间 完 整 会 话 最 相关 的 信息 ， 与 IPTV 会 话 相 关联 的 重要 消息 参数 都 存储 在 
SDR 中 。 











服务 器 










X 


+ 


| Ped 
aa > 


vProbe Z Og 
f 









图 12-7 ”基于 云 平台 IPTV 网 络 中 的 vProbe 方案 


亚马逊 研发 的 CloudWatch ( http://aws.amazon.com/cloudwatch) 是 一 款 运 用 在 Amazon 
云 上 的 监视 方案 ， 它 能 对 云 中 CPU 、 内 存 等 资源 的 利用 率 进行 监视 ， 此 外 还 能 监视 客户 应 
用 程序 和 服务 。 管 理 员 可 以 收集 和 追踪 与 各 个 应 用 相关 的 自 定 义 测 度 。 亚 马 逊 CloudWatch 
可 以 从 中 找 出 被 监视 的 数据 ， 以 图 形 形 式 显示 ， 并 设置 告警 从 而 协助 进行 故障 定位 、 执 行 趋 
势 评估 、 根 据 云 的 状态 采取 自动 化 操作 。 


12.4.2 QoE 监视 方案 


新 兴 的 QoE 监视 方案 扩展 了 QoS 监视 方案 ， 并 对 其 兼容 。 如 前 文 所 述 ，QoE 监视 方案 
严重 依赖 于 QoE/QoS 映射 模型 ， 而 且 不 存在 通用 的 QoE 监视 方案 ， 这 与 QoS 监视 方案 正好 
相反 。 

图 12-8 显示 了 四 种 可 用 于 对 运行 时 的 IP 视频 流 媒体 服务 QoE 值 进 行 监视 的 方法 ， 这 些 
方法 在 测量 位 置 和 映射 模型 位 置 等 方面 都 存在 不 同 ， 每 种 方法 都 采用 了 XY 方式 来 表达 ， 其 
中 X 是 指 测量 位 置 ，Y 是 指 质量 模型 位 置 ， 它 们 可 选 的 值 为 : M (N) MAP (C) 或 者 两 
者 皆 可 (B)。 

A. 静态 运 行 模式 (NN): KPI All QoE 测量 都 在 网 络 内 完成 ，QoE/QoS 映射 模型 部 署 

在 设备 上 ， 并 对 服务 传输 路 径 进行 监听 (如 图 12-8a 所 示 )。 质 量 模型 会 使 用 收集 
的 KPI、 与 视频 编码 相关 的 信息 和 接收 结 点 的 性 能 ，QoE/QoS 映射 模型 的 参数 从 解 
密 的 流 媒体 分 组 信息 中 提取 ， 接 收 结 点 的 特性 可 以 通过 轮 询 或 者 检查 会 话 描述 协议 
( Session Description Protocol, SDP) 报 文 得 到 。QoE 测量 点 包括 接收 结 点 模拟 器 ， 它 
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可 以 真实 地 重 构 接收 到 的 流 。 
一 一 > 多 媒体 流 
< A 
pis 协议 多 媒体 流 多 媒体 


言 号 
Ena QoS/QoE 映 射 | _> 质量 报告 
eee | 模型 


a) 静态 运行 模式 (NN) 
多 媒体 流 





多 媒体 
信号 


| en ail 质量 报告 
| eee 


b) 无 嵌入 的 分 布 式 运行 模 式 (CN) 
多 媒体 流 


| 
| seen | 


c) 无 戏 人 的 动态 运行 模式 (BN) 


=e ee eS 
静态 多 媒体 流 和 
解码 器 行为 信息 













接收 结 点 


d) 伐 入 式 的 动态 运行 模式 (CC) 
图 12-8 网 络 中 质量 模型 的 运行 工作 模式 


B. 无 能 入 的 动态 运行 模式 (BN): KPI 测量 在 网 络 和 客户 端 完 成 ， 但 是 QoE 值 的 测量 还 
是 在 网 络 内 部 (如 图 12-8c 所 示 )， 质量 模 型 需要 用 到 收集 的 KPI、 与 编码 方式 相关 的 
信息 以 及 利用 定制 的 信 令 协议 得 到 的 客户 端 信息 。 
C. 无 嵌入 的 分 布 式 运行 模式 (CN): KPI 测量 在 客户 端 完成 ， 这 些 测 量 结果 会 周期 性 地 
发 送 给 位 于 网 络 内 部 的 QoE/QoS 映射 模型 (如 图 12-8b 所 示 )。 
D. 嵌入 式 的 运行 模式 (CC): KPI 和 QoE 的 测量 在 客户 端 完 成 ，QoS/QoE 映射 模型 内 
入 在 客户 端 内 (如 图 12-8d 所 示 )， 测 量 得 到 的 QoE 测度 可 以 上 报 给 中 央 监 视 实 体 。 
ETSI 技术 规范 TS 103 294 (语音 和 多 媒体 传输 质量 (STQ); 体验 质量 ; 一 种 监视 体系 
结构 ，2014 ) 定义 了 一 种 标准 的 多 维 QoE 监视 方案 ， 该 方案 利用 了 部 署 在 设备 上 的 QoE ft 
理 ， 这 些 QoE 代理 之 间 能 相互 通信 ， 也 能 与 数据 获取 对 象 (或 探 针 ) 通信 。QoE 代理 架构 是 
基于 分 层 的 API 定义 ， 能 方便 地 将 影响 QoE 的 不 同 因素 分 组 ， 它 具体 包括 下 列 6 个 层次 。 
e 资源 : 由 用 于 服务 传输 的 技术 系统 及 网 络 资源 的 特征 和 性 能 等 方面 的 要 素 构 成 ， 这 些 
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要 素 的 例子 包括 时 延 、 时 延 抖 动 、 丢 包 、 差 错 率 和 吞吐 量 等 网 络 QoS， 此 外 还 包括 
服务 器 处 理 能 力 和 端 用 户 设备 能 力 〈 例 如 计算 能 源 、 内 存 、 屏 幕 分 辨 率 、 用 户 接口 、 
电池 寿命 ) 等 系统 资源 。 

e 应 用 : 由 应 用 /服务 配置 等 方面 的 要 素 构成 ， 这 些 要 素 包 括 多 媒体 编码 、 分 辨 率 、 采 
样 速 率 、 帧 速率 、 缓 存 大 小 、SNR 等 ,与 内 容 相 关 的 要 素 (例如 特定 的 时 空 需 求 、 
2D/3D 内 容 和 颜色 深度 ) 也 属于 该 层次 。 

e 接口 : 包括 物理 设备 和 接口 ， 用 户 通 过 这 些 接口 与 应 用 进行 交互 (例如 设备 类 型 、 屏 
幕 尺 寸 、 鼠 标 等 )。 

e 背景 : 包括 与 物理 背景 (例如 地 理 方面 、 周 边 灯 光 和 噪声 、 当 天 时 间 )、 使 用 背景 ( 例 
如 移动 / 非 移动 、 按 压 / 非 按 压 )、 经 济 背 景 (例如 用 户 付 费 ) 相关 的 内 容 。 

e A: 包括 所 有 与 用 户 的 感觉 特性 相关 的 因素 (例如 对 视听 刺激 的 敏感 度 、 持 续 的 感知 
能 力 等 )。 

e AÀ: 用 户 因 素 不 包含 在 人 这 一 层次 ， 这 里 的 因素 主要 围绕 人 作为 服务 或 应 用 的 用 
户 方面 (例如 历史 和 社会 特征 、 动 机 、 期 望 、 专 业 程度 )。 


QoE 代理 一 种 可 位 于 服务 传输 路 径 多 个 端 结 点 上 的 实体 ， 这 些 端 结 点 会 接收 从 探 
针 ( 网 络 、 基 础 设施 等 ) 发 送 过 来 的 信息 ， 并 利用 QoE/QoS 映射 模型 对 其 进行 处 理 。 


采用 这 种 层次 化 QoE 监视 方案 的 优势 在 于 可 以 利用 定制 的 QoS/QoE 映射 模型 对 任意 服 
务 进行 监视 ，QoE 代理 主要 由 图 12-9 中 所 示 的 6 个 对 象 构成 ， 下 面具 体 描述 各 个 对 象 。 

o 通信 对 象 管理 QOE 代理 之 间 的 通信 。 

e 数据 获取 对 象 实现 所 有 数据 获取 子 层 功 能 ， 它 需要 一 些 必 要 的 原始 信息 来 对 给 定 
QoE/QoS 映射 模型 内 部 参数 进行 计算 。 

© 控制 器 对 象 实现 全 局 QoE/QoS 映射 模型 ， 并 对 外 部 请 求 和 命令 进行 处 理 ， 例 如 get 
和 set 操作 。 

e 层次 对 象 是 实现 了 不 同 模型 层次 的 接口 对 象 ， 例 如 应 用 模型 、 背 景 模型 和 用 户 模型 。 

e 不 间断 数据 对 象 存储 了 所 有 层次 的 质量 参数 。 

e 定时 器 对 象 用 作 QoE 代理 的 内 部 时 间 。 





图 12-9 一 种 位 于 相同 位 置 的 QoE 代理 最 大 组 件 集 (通用 QoE 代理 ) 
QoE 代理 必须 实现 ARCU 模型 所 有 层次 的 功能 ， 但 是 它们 可 以 分 布 在 多 个 物理 设备 上 ， 
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为 了 实现 分 布 式 ， 需 要 以 下 两 种 类 型 的 QoE 代理 : 
e + QoE 代理 是 至 少 实现 了 用 户 模型 子 层 的 非 分 布 式 实体 ， 用 户 模 型 子 层 至 少 包 含 用 
户 类 型 层次 对 象 ， 它 必须 实现 通信 对 象 、 控 制 对 象 、 定 时 器 对 象 和 不 间断 数据 对 象 ， 
还 必须 实现 数据 获取 对 和 象 (如 图 12-10 所 示 )。 
e 从 QoE 代理 是 非 分 布 式 实体 ， 它 实现 了 数据 获取 对 象 或 者 一 些 除 了 用 户 类 型 层次 对 
象 以 外 的 层次 对 象 ， 它 还 必须 实现 通信 对 象 、 控 制 器 对 象 和 和 定时 器 对 象 。 





图 12-10 一 个 主 代理 的 最 小 组 件 集 (只 有 用 户 模 型 ) 


E QoE 代理 的 最 大 组 件 和 最 小 组 件 集 分 
别 在 图 12-9 和 图 12-10 中 说 明 ， 主 QoE 代 
理 的 最 大 组 件 集 包括 所 有 的 ACRU 层 ， 而 主 
QoE 代理 的 最 小 组 件 集 只 实现 了 用 户 层 。 图 
12-11 则 显示 了 只 实现 除 用 户 层 以 外 ACRU 
模型 中 一 个 层次 的 从 QoE 代理 。 
数据 获取 模块 封装 成 一 个 如 下 所 述 的 探 
针 代理 。 图 12-11 只 实现 了 (除了 用 户 层 以 外 ) 一 个 层次 
。L 型 探 针 代理 是 一 个 非 分 布 式 的 实体 ， 模型 的 从 QoE 代理 
实现 了 工 型 的 数据 获取 子 层 ， 并 且 没 
有 层次 对 象 (如 图 12-12 所 示 )， 它 还 
必须 实现 通信 对 象 、 控 制 器 对 象 和 定 








时 器 对 象 。 : 
o 探 针 代理 在 工 型 探 针 代理 的 类 型 不 相 
关 或 实体 实现 了 不 同类 型 的 几 个 子 层 
时 使 用 ， 它 必须 实现 通信 对 象 、 控 制 
340 器 对 象 和 定时 器 对 象 。 图 12-12 — Fh L 型 探 针 代理 


12.5 基于 QoE 的 网 络 和 服务 管理 


量化 的 QoE 值 可 用 于 网 络 和 服务 管理 ， 这 就 需要 在 QoE 值 最 大 化 和 资源 消耗 最 小 化 两 
个 问题 之 间 达 成 折 中 。 当 前 最 大 的 挑战 在 于 将 QoE 测度 转换 为 一 系列 操作 ， 从 而 增强 QoE 
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并 降低 资源 消耗 量 。 但 不 幸 的 是 ， 目 前 还 没有 系统 化 的 方法 可 以 实现 这 一 目标 ， 下 面 会 介绍 
一 些 尝试 将 各 种 动作 作为 QoE 测量 功能 的 应 用 。 


12.5.1 基于 QoE 的 VolP 呼叫 管理 


基于 QoE 的 VoIP 管理 已 经 得 到 了 广泛 的 研究 ， 其 目标 是 在 时 变 的 IP 网 络 中 ， 为 整个 
语音 通话 过 程 提供 稳定 的 QoE 等 级 。 通 常 来 说 ， 遵 循 白 盒 参数 模型 的 QoE 测量 探 针 部 署 在 
VoIP 端 结 点 上 ， 它 们 在 运行 时 会 收集 原始 的 KPI 信息 ， 然 后 将 其 进行 转换 并 作为 QoE/QoS 
映射 模型 的 输入 。 在 一 个 新 的 QoE 测量 结果 收 到 后 ，QoS 控制 器 会 对 传输 路 径 中 的 网 络 参 
数 进行 调整 ， 例 如 队列 分 配 和 拥塞 阐 值 。 一 种 最 为 简单 的 策略 是 在 QoE 值 低 于 (高 于 ) 目标 
值 时 ， 为 其 分 配 相对 更 多 (更 少 ) 的 网 络 资源 。 


12.5.2 ”基于 QoE 的 以 主机 为 中 心 的 垂直 切换 


在 下 一 代 网 络 中 的 移动 用 户 在 某 个 时 刻 可 以 由 几 个 重 著 的 异 构 无 线 网 提供 服务 ， 在 这 种 
情况 下 ， 移 动用 户 应 当选 择 接 人 到 最 有 可 能 提供 高 质量 服务 的 无 线 网 ， 网 络 选择 / 切换 过 程 
可 以 在 开始 或 服务 阶段 完成 。 由 于 客户 和 提供 商 等 原因 ， 用 户 从 一 个 网 络 切换 到 另 一 个 网 络 
时 就 产生 了 互联 网 络 的 硬 切 换 ， 该 切换 可 以 用 以 网 络 为 中 心 或 以 主机 为 中 心 的 方式 来 管理 。 
在 传统 以 网 络 为 中 心 的 方法 中 ， 提 供 商 所 监视 的 基础 设施 决定 了 何 时 需要 通过 特定 控制 算法 
来 切换 ， 而 在 以 主机 为 中 心 的 方法 中 ， 端 结 点 可 以 在 服务 质量 变 得 不 稳定 和 无 法 满足 用 户 需 
求 的 时 候 进 行 切换 。 

12-13 描绘 了 一 个 可 能 的 设想 场景 ， 其 中 客户 端 可 以 由 WiMAX 或 Wi-Fi 来 提供 服 
务 ， 同 时 需要 对 一 些 合适 的 设备 进行 部 署 和 配置 从 而 协助 完成 网 络 的 切换 ， 这 些 设备 包括 
室外 和 室内 单元 、 服 务 器 、 路 由 器 、Wi-Fi 和 WiMAX 接 入 点 ， 在 通话 期 间 ， 客 户 端 可 以 从 
WiMAX 切换 到 Wi-Fi， 也 可 以 反 过 来 切换 。 
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图 12-13 ”基于 客户 端 和 链 路 质量 的 Wi-Fi 与 WiMAX 网 络 选 择 [MURP007] 


Murphy 等 人 在 论文 [MURP007] 中 提出 ， 以 主机 为 中 心 的 网 络 选择 方法 更 适合 于 时 延 敏 
感 服务 ， 在 这 种 情况 下 ， 互 联网 的 切换 可 以 在 单个 服务 和 单个 用 户 的 基础 上 根据 定制 的 需求 
来 执行 。 一 般 来 说 ， 对 于 时 延 敏感 的 服务 ， 应 当选 择 能 减少 / 消除 服务 中 断 情况 的 无 缝 网络 
切换 。 

为 了 实现 这 一 要 求 ， 可 以 采用 基于 消息 的 、 多 流 、 多 宿 以 及 可 靠 的 流 控制 传输 协议 
( Stream Control Transmission Protocol, SCTP) 作为 运输 层 协 议 。 相 比 于 TCP 协议 来 说 ， 
SCTP 允许 将 失 序 的 分 组 交付 给 应 用 程序 ， 这 对 时 延 敏 感 类 应 用 更 为 合适 。SCTP 的 多 宿 特 
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性 也 让 端 结 点 可 以 在 多 个 异 构 重 倒 无线 网 中 透明 切换 ， 源 地 址 和 特定 目的 地 址 之 间 的 一 条 路 
径 作 为 主要 路 径 ， 其 他 路 径 则 作为 次 要 路 径 。SCTP 可 以 在 运行 时 监视 所 有 活跃 路 径 的 时 延 
和 时 延 抖 动 ， 并 保证 这 些 路 径 对 应 用 是 可 用 的 。 次 要 路 径 上 会 传输 心跳 报 文 ， 并 收集 所 需 
的 测量 结果 。 收 集 到 的 KPI 会 通过 合适 的 QoE/QoS 映射 模型 映射 到 相应 的 QoE 值 。 路 径 质 
量 会 在 固定 间隔 时 进行 对 比 ， 客 户 端 从 而 根据 定制 的 和 内 部 的 策略 确定 是 否 需 要 进行 网 络 
切换 。 


12.5.3 基于 QoE 的 以 网 络 为 中 心 的 垂直 切换 


本 节 主 要 介绍 基于 QoE 的 以 网 络 为 中 心 的 互联 网 切换 机 制 ， 其 目的 是 在 重 释 的 WLAN 
Al GSM 网 络 之 间 进 行 切换 。 一 方面 ， 这 种 切换 可 以 有 效 利用 WLAN 较 高 的 传输 能 力 ， 另 
一 方面 ， 可 以 减少 GSM 网 络 的 负载 和 费用 。 图 12-14 显示 了 一 个 移动 用 户 向 使 用 PSTN 的 
固 话 用 户 发 起 一 个 语音 通话 ， 该 移动 用 户 在 无 线 网 络 的 最 后 一 跳 使 用 了 WLAN。 随 后 ， 当 
通话 语音 的 QoE 由 于 移动 性 或 拥塞 等 原因 低 于 某 个 特定 的 阔 值 时 ， 执 行 切换 操作 。 在 这 种 
情况 下 ， 移 动用 户 会 使 用 GSM 网 络 与 固 话 用 户 通话 。 可 自由 切换 的 终端 装备 了 两 个 无 线 网 
卡 ， 可 以 分 别 与 WLAN 和 GSM 网 络 相 连 ， 移 动 终 端 会 发 送 足 够 多 的 “质量 报告 ”给 PBX, 
并 由 其 对 接收 到 的 反馈 进行 分 析 。 一 旦 发 现 了 不 满足 要 求 的 QoE 值 ，PBX 会 引导 移动 终端 
进行 切换 。 为 了 实现 无 缝 切换， 移动 终端 和 PBX 之 间 的 GSM 网 络 会 开设 话音 信道 ， 从 而 
向 固 话 用 户 中 继 接收 到 的 话音 信息 。 


802.11 接 入 点 局 域 网 
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SANA 同时 支持 IP 和 
GSM 的 PBX 


a= 


802.11 的 终端 
图 12-14 WLAN 和 GSM 网 络 之 间 的 切换 场景 [MAES06] 


切换 采用 下 述 简化 的 加 性 质量 模型 控制 ， 该 模型 安装 在 程控 交换 机 ( private branch 
exchange, PBX) 上 ， 具 体 参见 Marsh 等 人 的 论文 [MARS06]: 
切换 分 值 = 信号 十 丢 包 + 时 延 抖动 十 质量 报告 丢失 R (12-9) 

其 中 ， 切 换 值 的 变化 范围 为 -100 ~ 100， 其 他 的 变量 定义 如 下 。 

e 接收 信号 强度 指标 : 信 噪 比 是 一 项 能 很 好 反映 服务 质量 的 测度 ， 特 别 是 在 无 线 电 信 
网 中 ,但 该 测度 会 引发 对 无 线 数据 网 不 准确 的 质量 评估 。 实 际 上 在 无 线 电 信和 网 中 ， 
较 高 的 信号 强度 表明 用 户 可 以 获得 较 好 的 QoE， 但 该 规律 在 无 线 数据 网 中 不 太 准 确 ， 
因为 在 无 线 数 据 网 中 即使 较 高 的 信号 强度 也 可 能 会 由 于 拥塞 引发 的 丢 包 等 问题 导致 
QoE 很 差 。 移 动 终端 会 周期 性 地 记录 接收 信号 强度 ， 信 和 号 强度 的 分 值 范围 由 使 用 者 
自己 定义 的 切换 分 值 决定 ， 具 体 来 说 ， 接 收 信号 强度 的 分 值 变化 范围 是 0 一 +90。 

e MCRD: 不 断 增加 的 时 延 拌 动 预 示 着 传输 质量 很 差 。 根 据 之 前 的 研究 经 验 ， 分 值 
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为 +10 和 0 分 别 表示 较 好 的 条 件 和 时 延 拌 动 很 小 的 条 件 ， 分 值 为 -10 和 -20 分 别 表 
示 较 差 和 很 差 的 时 延 抖 动 条 件 。 
° FE: 较 高 的 分 组 丢 包 率 表明 用 户 遇 到 的 质量 很 差 ， 分 组 丢 包 率 每 增加 8%， 分 值 就 
相应 降低 10 分 ， 丢 包 的 增加 会 造成 长 期 较 差 的 传输 条 件 。 
e RTCP 丢失 : 当 监 视 结 点 没有 收 到 RTCP 的 质量 报告 时 ， 移 动 终端 很 可 能 遇 到 了 接 
收 问题 ， 三 个 或 三 个 以 上 的 连续 RTCP 反馈 丢失 通常 会 急剧 降低 总 体 切 换 值 ， 每 个 
RTCP 报告 丢失 都 会 使 分 值 降低 10 分 。 
较 高 的 正 分 值 表明 QoE 很 好 。 移 动用 户 可 以 指定 一 个 更 低 一 些 的 接受 贱 值 ， 这 时 切换 
只 会 在 计算 值 降低 到 该 阐 值 之 下 后 发 生 。 增 加 阅 值 可 以 在 产生 更 高 通信 开销 的 情况 下 提高 平 
均 质 量 ， 因 为 系统 会 在 通话 过 程 中 更 早 地 切换 到 GSM 网 络 。 与 这 一 情况 相反 的 是 ， 如 果 将 
阔 值 设置 得 较 低 ， 那 么 可 以 减少 通信 开销 ， 但 是 会 降低 通话 质量 。 


12.6 重要 术语 
学 完 本 章 后 ， 你 应 当 能 够 定义 下 列 术语 。 


QoE/QoS 映射 模型 灰 盒 映射 模型 基于 QoE 的 管理 
黑 盒 映射 模型 QoE 感知 服务 
习 盒 映射 模型 基于 QoE 的 监视 


12.7 参考 文献 


HOSS13: Hossfeld, T., et al. “ Internet Video Delivery in YouTube: From 
Traffic Measurements to Quality of Experience.” Book chapter in Data Traffic 
Monitoring and Analysis: From Measurement, Classification, and Anomaly 
Detection to Quality of Experience, Lecture Notes in Computer Science, Volume 
7754, 2013. 


KETY10: Ketyko, I., De Moor, K., Joseph, W., and Martens, L. “Performing 
QoE-Measurements in an Actual 3G Network,” IEEE International Symposium 
on Broadband Multimedia Systems and Broadcasting, March 2010. 


KHANOS: Khan, A., Sun, L., and Ifeachor, E. “Content Clustering Based Video 
Quality Prediction Model for MPEG4 Video Streaming over Wireless Networks,” 
IEEE International Conference on Communications, 2009. 


KIM14: Kim, H., and Choi, S. “QoE Assessment Model for Multimedia Streaming 
Services Using QoS Parameters,” Multimedia Tools and Applications, October 
2014. 


KUIP10: Kuipers, F. et al. “Techniques for Measuring Quality of Experience,” 8th 
International Conference on Wired/Wireless Internet Communications, 2010. 


MA14: Ma, H., Seo, B., and Zimmermann, R. “Dynamic Scheduling on Video 
Transcoding for MPEG DASH in the Cloud Environment,” Proceedings of the Sth 
ACM Multimedia Systems Conference, March 2014. 


MARSOE6: Marsh, I., Grönvall, B., and Hammer, F. “The Design and 
Implementation of a Quality-Based Handover Trigger,” Sth International 
IFIP-TC6 Networking Conference, Coimbra, Portugal. 


MURP07: Murphy, L. et al. “An Application-Quality-Based Mobility Management 
Scheme,” Proceedings of 9th IFIP/IEEE International Conference on Mobile and 
Wireless Communications Networks, 2007. 








344 








> < AAP RIN © 5%, 


== 252 a ES (eres oT 会 Sa e —_-s > PEs PS 2 ps tà & 


Si hah ht vat YA 


è l pII = < =% < 
wg Anit gA as A eT TPR E Ieee Fs 
a > 1) 7 “ty aR. SSS. 7G. Le 


ea hay aaa T MLA EEN SIN WP EU Lf 8 
E UNAM Me eT PR A j i 
m a r (La? aE, umee oh, acid 
Hedy tee ee) i BP met ig aw 
TA LERS FEES ONE: Series dafa 
one VEIRAN iA B aS TH e At aind -ia 4, 7 
SURES ON a mam os ited i W. eh RE 9 oo 


oe g f 
“on Un D g i stas ass cae 
=e mo thn oll a ee yi su 
PIA aB E S Pihis, - EAO TT, 
OHA? Yee ai ee ee oe “aware | 
nau 和 iis = D HA apy 5 g wiwt 1 
6 "dh t on l 
i wL ei ro- 
aa rr y De e. pél E i ê 


err hy Pet 9 | pe ihe P be Dha D Dora 
,re aS an - o g 飞 PI gh tle ome 
hipy ur hese sa ri im ~ SD a tah Ni Gt vente 
(一直 下 er AAR gi : TEs. Natal Wiad oP Sean 
eee a My 
ĝ Briss ; Ëa urr és 4 A a? [reps ar ae 
h it earann h O ant) SEL 4 mew Ny 
N Ditiki de Bye SP age! h a abel = 
De Cdo mawl on ee | | ae ba he 
e, ie Se afl (ld @ ary? pew iid? Vee’ id omy É 
Kas SRS a lots Me 六 


7 ee ee mrar i afs mi maa. ut 


ET A RO a 
O mps vl) PO | 

ege. meen of z piani 一 =e Ven -Te 

Pe athe aan Fe. ae ows “sear ~ eh 
i+ Mee maa wl RE set pte» ar doe tak nia 

A 7U ost =g «yr 
ig iit igen ee Fot; i ee 
E pale Eu z a Í ~ Alarm E 

ai é wasted Phere a ea a Op 

T sAN = a etre Pe, ti 
‘a Wi i a d bai ERT 

eee ee Rape Ar | 

al, S00 A Le 二 全 的 和 444 ~ 


ian». 


=~ 


| 第 五 部 分 


Foundations of Modern Networking: SDN, NFV, QoE, IoT, and Cloud 


现代 网 络 体系 结构 : AIS 





我 们 已 经 讨论 了 一 个 新 的 大 型 通信 系统 ， 这 个 系统 无 论 是 概念 或 者 设备 都 与 现 

有 系统 有 很 大 的 不 同 ， 它 整合 了 两 种 不 同 的 技术 : 计算 机 和 通信 。 
《分 布 式 通信 : 总 结 概述 》 Rand Report RM-3767-PR, 
保罗 ， 巴 兰 ，1964 年 8 月 





第 13 章 云 计算 
第 14 章 物 联 网 : 基本 构成 
第 15 章 物 联网 : 体系 结构 与 实现 


云 计算 和 物 联网 (loT) 是 目前 两 种 主要 的 现代 网 络 体系 结构 ， 而 物 联 网 有 时 也 称 为 雾 计 
算 。 前 面 章节 中 所 讨论 的 技术 和 应 用 为 云 计算 及 loT 奠定 了 基础 。 第 13 章 是 关于 云 计 算 的 
一 个 综述 。 该 章 首先 定义 了 一 些 基本 感念 ， 随 后 讨论 了 云 服 务 、 部 署 模型 以 及 体系 结构 ， 最 
后 讨论 了 云 计算 和 软件 定义 网 络 (SDN) 及 网 络 功能 虚拟 化 (NEV) 之 间 的 关系 。 第 14 章 和 
第 15 章 对 loT 进行 了 详细 的 分 析 ， 其 中 第 14 章 给 出 了 支持 loT 功能 的 物体 所 具有 的 基本 组 
件 ， 而 第 15 章 讨论 了 loT 参考 体系 结构 ， 并 分 析 了 3 种 实现 例子 。 


第 13 章 | 


Foundations of Modern Networking: SDN, NFV, QoE, IoT, and Cloud 


云 计 算 





人 们 现在 可 以 刻画 出 一 个 在 实验 室 工 作 的 未 来 研究 者 形象 : 他 的 双手 是 自由 的 ， 
不 会 被 固定 在 特定 的 位 置 。 在 运动 和 观测 数据 的 过 程 中 ， 他 可 以 进行 拍照 和 评论 。 
时 间 会 被 自动 记录 下 来 以 关联 这 两 种 记录 。 当 去 野外 时 ， 他 可 以 通过 无 线 电 与 他 的 
记录 器 保持 联系 。 当 他 在 夜晚 整理 笔记 的 时 候 ， 同 祥 可 以 将 评论 加 入 到 记录 中 。 他 
所 有 的 记录 以 及 照片 都 以 微缩 模型 的 形式 进行 存储 ， 以 便 进 行 投影 检查 。 

一 一 《 诚 若 所 思 》 BAR: HH, (ABFA), 1945 年 7 月 

本 章 目 标 
学 完 本 章 后 ， 你 应 当 能 够 : 
e 给 出 云 计算 概念 的 宏观 描述 


e 列举 和 定义 主要 的 云 服务 
e 列举 和 定义 云 部 署 模型 
o 对 比 区 分 NIST 和 ITU-T 云 计算 参考 体系 结构 


e 讨论 SDN、NFYV 与 云 计算 的 相关 性 

1.6 节 对 云 计算 的 概念 进行 了 简要 概述 ，2.2 节 则 讨论 了 云 计算 对 网 络 所 带 来 的 新 需求 。 
本 章 将 首先 详细 介绍 云 计算 的 基本 概念 ， 随 后 讨论 云 提供 商 所 提供 的 典型 服务 类 型 ， 进 一 步 
分 析 分 别 由 NIST Al ITU-T 所 提出 的 两 种 云 计 算 参 考 体系 结构 。 对 这 两 种 不 同 模型 的 讨论 有 
助 于 深入 了 解 云 计算 的 本 质 。 最 后 ， 本 章 将 讨论 SDN A NFV 如 何 能 够 支持 云 计算 的 部 署 和 


运行 。 
13.1 基本 概念 


目前 许多 组 织 机 构 越 来 越 倾向 于 将 其 部 分 或 者 全 部 信息 技术 (IT) 操作 移植 到 具有 因 特 
网 连接 的 基础 设施 上 ， 并 称 其 为 企业 云 计 算 。 同 时 ，PC 和 移动 设备 用 户 也 越 来 越 依赖 于 云 
计算 技术 来 备份 数据 、 同 步 设备 并 进行 共享 。NIST 在 “NIST 云 计算 定义 ”(NIST SP-800- 
145) 中 给 出 的 云 计算 定义 (参见 1.6 节 ) 如 下 。 

AWA: 一 种 支持 对 共享 的 可 配置 计算 资源 池 (例如 ， 网 络 、 服 务 器 、 存 储 、 应 用 及 服 
务 等 ) 进行 泛 在 、 方 便 、 按 需 网 络 接 入 的 模型 ， 这 里 的 计算 资源 可 以 在 最 少 的 管理 工作 或 服 
务 提 供 商 参 与 下 快速 地 分 配 和 释放 。 这 一 云 模 型 提升 了 可 用 性 ， 并 包括 5 种 重要 特征 、3 种 
服务 模型 及 4 种 部 署 模型 (参见 图 1-7 )。 

上 述 定 义 涉及 多 种 模型 和 特征 ， 它 们 之 间 的 关系 如 图 13-1 所 示 。5 种 重要 特征 已 经 在 第 1 
章 中 进行 过 讨论 ， 本 章 将 讨论 3 种 服务 模型 和 4 种 部 署 模型 (参见 2.2 节 )。 

总 体 而 言 ， 云 计算 在 规模 、 专 业 化 网 络 管理 、 专 业 化 安全 管理 等 方面 提供 了 规模 经 济 
性 。 这 些 特征 对 于 不 同 规模 的 公司 、 政 府 机 构 和 PC 及 移动 用 户 都 具有 了 吸 引力。 用 户 或 者 公 
司 只 需要 为 他 们 所 使 用 的 存储 功能 和 服务 进行 付费 ， 而 不 需要 陷入 诸如 建立 数据 库 系统 、 采 
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购 硬件 设备 、 进 行 系统 维护 以 及 进行 数据 备份 等 麻烦 中 ， 上 述 一 切 均 是 云 服务 的 内 容 (参见 
24 节 )。 


PIS a 





SRS 





1 OS 





图 13-1 云 计算 的 组 成 部 分 


理论 上 ， 当 使 用 云 计算 存储 以 及 与 他 人 共享 你 的 数据 时 ， 另 外 一 个 重要 好 处 是 可 以 交 由 
云 提供 商 来 负责 安全 性 。 然 而 ， 用 户 并 不 是 一 直 处 于 保护 状态 中 ,已 经 在 云 提供 商 中 出 现 了 
不 少 安全 性 问题 。Evernote 曾 因 为 发 现 人 侵 而 要 求 其 所 有 用 户 重 置 密码 ， 该 事件 成 了 2013 
年 的 新 闻 头 条 。 

云 网 络 指 为 支持 云 计算 所 必须 部 署 的 网 络 和 网 络 管理 功能 。 许 多 云 计算 解决 方案 依赖 于 
因特网 ,但 因特网 仅仅 是 网 络 基础 设施 的 一 部 分 。 云 网 络 的 一 个 例子 是 在 提供 商 和 用 户 之 间 
提供 高 性 能 /高 可 靠 性 的 联网 。 在 这 种 情况 下 ， 企 业 和 云 之 间 的 部 分 或 者 全 部 流量 可 以 绕 过 
因特网 ， 并 使 用 云 服务 提供 商 拥有 或 者 租用 的 专用 私有 网 络 组 件 。 更 一 般 地 ， 云 网 络 指 访问 
云 所 需要 的 网 络 功能 集合 ， 包 括 使 用 因特网 上 的 特殊 服务 、 将 企业 数据 中 心 连接 到 云 ， 以 及 
在 关键 点 使 用 防火 墙 和 其 他 网 络 安全 设备 以 实施 访问 安全 策略 等 。 

我 们 可 以 将 云 存储 作为 云 计算 的 一 部 分 。 本 质 上 ， 云 存储 包括 数据 库存 储 以 及 托管 于 远 
程 云 服 务 器 上 的 数据 库 应 用 。 云 存储 能 够 为 小 企业 和 个 人 用 户 带 来 数据 存储 按 需 扩展 的 好 
处 ， 以 及 能 够 在 无 须 购买 、 维 护 和 管理 存储 资产 的 情况 下 使 用 多 种 数据 库 应 用 。 


13.2 云 服务 


本 节 从 NIST 定义 的 3 种 服务 模型 人 手 来 探讨 常见 的 云 服务 。 

o 软件 即 服务 (Saas) 

e 平台 即 服务 (Paas) 

o 基础 设施 即 服务 (laas) 

上 述 模型 可 以 被 看 做 嵌 套 的 服务 方式 (如 图 13-2 所 示 )， 并 被 广泛 接受 为 云 计 算 的 基本 
服务 模型 。 本 节 随 后 还 将 讨论 其 他 常用 的 云 服 务 模型 。 
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c) IaaS 
图 13-2 云 服 务 模型 


13.2.1 ”软件 即 服务 


如 其 名 字 所 示 ，SaasS 的 云 以 软件 的 形式 向 用 户 提 供 服 务 ， 其 中 软件 是 运行 在 云 中 的 用 
户 可 访问 的 应 用 软件 ,SaaS 遵循 人 们 所 熟知 的 Web 服务 模型 ， 只 是 这 里 将 该 模型 的 应 用 场景 
扩展 到 云 资源 中 。SaaS 使 得 用 户 能 够 使 用 运行 于 提供 商 云 基础 设施 上 的 应 用 ， 这 些 应 用 可 
以 在 多 种 客户 设备 上 通过 诸如 Web 浏览 器 这 样 的 简单 接口 访问 。 企 业 无 须 购买 软件 产品 的 
桌面 或 者 服务 器 授权 ， 即 可 从 云 服 务 中 获取 同样 的 功能 。SaaS 避免 了 软件 安装 、 维 护 、 升 
级 以 及 打 补 丁 的 复杂 性 。 这 类 服务 的 典型 例子 包括 Google 的 Gmail、 微 软 365. Salesforce, 











FR FRSA ‘ERS SAS 
SaaS 的 典型 用 户 包 括 硕 望 为 员工 提供 日 常 办 公 软 件 产品 访问 功能 的 机 构 ， 这 些 软件 包 
括 文档 管理 和 电子 邮件 。 个 人 用 户 也 会 使 用 SaaS 模型 获取 云 资源 。 通 常 而 言 ， 用 户 按 需 使 
用 特定 的 应 用 。 云 提供 商 也 会 经 常 提供 一 些 数 据 相关 的 特性 ， 如 自动 备份 以 及 在 不 同 用 户 之 
间 的 数据 共享 等 。 
下 面 描述 了 Saas 服务 的 例子 ， 其 数据 来 源 于 OpenCrowd (http:// cloudtaxonomy.opencrowd. 
com/taxonomy) 正在 进行 的 行业 调查 ， 括 号 中 的 数字 代表 提供 每 种 服务 的 厂商 数目 。 


es TEATAR es 
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计 费 (3 ): 应 用 服务 ， 能 够 基于 用 户 使 用 和 订购 的 产品 及 服务 对 其 进行 计 费 。 

协作 〈18 ) : 平台 ,通过 提供 相应 的 工具 ， 人 允许 用 户 在 工作 组 内 进行 协作 ， 且 这 些 工 

作 组 可 以 位 于 同一 个 企业 内 和 不 同 企业 间 。 

内 容 管理 (7 ): 服务 ， 能 够 管理 产品 并 访问 基于 Web 的 应 用 中 的 内 容 。 

© 客户 关系 管理 ( 13 ): 平台 ,支持 从 呼叫 中 心 业务 到 销售 资源 自动 化 等 多 种 CRM 应 用 

。 文档 管理 (6): 平台 ， 用 于 管理 文档 和 文档 产品 工作 流 ， 并 能 够 为 小 组 或 企业 提供 
查找 和 访问 文档 的 工作 区 间 。 

© 教育 (4): 为 教育 者 和 教育 机 构 提 供 在 线 服务 。 

。 企业 资源 规划 ( 8 ) : ERP 是 一 个 基于 计算 机 的 综合 系统 ， 可 应 用 于 管理 内 部 和 外 部 

资源 ， 包 括 有 形 资 产 、 财 务 资源 、 原 材料 、 以 及 人 力 资源 。 

MS (11): 为 公司 管理 财务 过 程 的 应 用 ， 包 括 费 用 处 理 与 票据 开具 、 税 务 管理 等 。 

医疗 保健 ( 10 ): 用 于 提升 和 管理 人 们 健康 以 及 保健 管理 的 服务 。 

人 力 资源 ( 10 ): 管理 公司 内 人 力 资源 功能 的 软件 。 

IT 服务 管理 (5 ) : 帮助 企业 管理 向 所 服务 的 客户 进行 IT 服务 交付 ， 以 及 管理 性 能 提 

升 的 软件 。 

e 个 人 生产 力 (5 ): 企业 用 户 在 通常 的 商业 活动 中 日 常 使 用 的 软件 。 典 型 套件 包括 文 
字 处 理应 用 、 表 格 应 用 以 及 汇报 演示 应 用 等 。 

e MABE (12): 用 于 管理 项 目的 软件 包 。 软 件 包 的 特征 指定 了 能 够 应 用 到 的 特定 项 
目 类 型 ， 如 软件 开发 、 构 建 等 。 

。 销售 (7 ): 为 销售 功能 而 特别 设计 的 应 用 ， 如 计价 、 佣 金 追踪 等 。 

。 安全 ( 10 ): 用 于 诸如 恶意 软件 和 病毒 扫描 、 单 点 登录 等 安全 服务 的 托管 产品 。 

© 社交 网 络 (4 ): 用 于 创建 和 定制 社交 网 络 应 用 的 平台 。 


13.2.2 平台 即 服务 


PaaS 云 以 平台 的 方式 为 客户 提供 服务 ， 客 户 的 应 用 可 以 运行 在 该 平台 之 上 。PaaS 云 使 
得 客户 可 以 在 云 基 础 设施 中 部 署 客 户 创建 或 者 购置 的 应 用 。PaaS 云 提 供 有 用 的 软件 构建 模 
块 以 及 大 量 的 开发 工具 ， 包 括 编程 语言 工具 、 运 行 时 环境 以 及 其 他 帮助 部 署 新 应 用 的 工具 。 
实际 上 ，PaaS 是 云 中 的 一 个 操作 系统 。 当 一 个 组 织 希 望 开发 新 的 或 者 定制 的 应 用 ,但 同时 
只 希望 在 有 限 的 时 间 段 内 支付 有 限 的 计算 资源 费用 时 ，PaaS 显得 尤为 有 用 。AppEngine、 
Engine Yard, Heroku, Microsoft Azure, Force.com 和 Apache Stratos 都 是 典型 的 PaaS 例子 。 


FARRS ( PaaS) 通过 云 计算 提供 的 一 组 功能 ， 其 中 云 服务 客户 能 够 使 用 云 服务 
提供 商 支持 的 一 种 或 者 多 种 编程 语言 以 及 一 个 或 者 多 个 执行 环境 来 部 署 、 管 理 和 运行 客户 
创建 或 者 购买 的 应 用 。 


下 面 描述 了 PaaS 服务 的 一 些 例子 ， 括 号 中 的 数字 表示 目前 提供 相应 服务 的 厂商 数目 。 

© 大 数据 即 服务 (19): 基于 云 的 服务 ， 用 于 分 析 具 有 高 扩展 性 的 大 数据 集 或 者 复杂 数 
据 集 。 

e 商务 智能 (18): 用 于 创建 商务 智能 应 用 的 平台 ， 如 仪表 盘 、 报 告 系统 以 及 大 数据 分 析 。 

e 数据 库 ( 18 ): 提供 从 关系 型 数据 库 方案 到 大 规模 可 扩展 非 SQL 数据 存储 的 可 扩展 数 
据 库 系统 。 


234 BLEED RKABRKAAH: ZRF 


e 开发 与 测试 ( 18 ) : 这 些 平 台 仅 用 于 应 用 开发 过 程 中 的 开发 和 测试 ， 可 以 按 需 进 行 扩 
展 和 收缩 。 

e 通用 用 途 (22): 适用 于 通用 应 用 开发 的 平台 。 这 类 服务 提供 数据 库 、Web 应 用 运行 
时 环境 ， 并 通常 支持 用 于 整合 的 Web 服务 。 

。 整合 (14): 用 于 整合 不 同 应 用 的 服务 ， 这 些 应 用 包括 云 到 云 的 整合 以 及 定制 应 用 的 
整合 等 。 


13.2.3 ”基础 设施 即 服务 


在 laaS 中 ,客户 可 以 访问 底层 云 基础 设施 的 资源 。IaaS 提供 虚拟 机 和 其 他 抽象 硬件 及 
操作 系统 。IaaS 为 客户 提供 处 理 、 存 储 、 网 络 以 及 其 他 基础 的 计算 资源 ， 以 便 客 户 可 以 部 署 
和 运行 操作 系统 或 者 应 用 等 任意 类 型 的 软件 。IaaS 使 客户 能 够 通过 组 合 诸如 数值 计算 和 数据 
存储 等 基本 的 计算 服务 来 构建 适应 性 强 的 计算 机 系统 。 


基础 设施 即 服务 ( laaS) 通过 去 计算 提供 的 一 组 功能 ， 在 其 中 云 服务 客户 可 以 分 配 
和 使 用 如 处 理 、 存 储 或 联网 等 资源 。 RR 


通常 情况 下 ， 客 户 能 够 使 用 基于 Web 的 图 形 用 户 接口 自动 配置 这 一 基础 设施 ， 该 图 形 
用 户 接口 作为 整个 环境 的 IT 操作 管理 平台 。 有 时 也 会 提供 到 这 一 基础 设施 的 访问 API, oR 
型 的 IaaS 例子 包括 亚马逊 弹性 计算 云 (Amazon EC2 )、 微 软 Windows Azure, Google 计算 
5| (GCE) 和 Rackspace. 

下 面 描述 了 laas 服务 的 例子 ， 括 号 中 的 数字 表示 当前 提供 该 服务 的 厂商 数目 。 

e 备份 和 恢复 (14): 为 存储 在 服务 器 和 桌面 系统 中 的 文件 系统 和 原始 数据 提供 备份 和 
恢复 服务 的 平台 。 
BRE (7): 在 多 个 云 基础 设施 平台 上 管理 服务 的 工具 。 有 些 工具 支持 私有 一 公有 
云 配 置 。 
计算 (31 ) : 为 运行 基于 云 的 系统 提供 服务 器 资源 ， 并 且 这 些 资 源 能 够 按 需 动态 分 配 
和 配置 。 
内 容 分 发 网 络 ( 2 ) : CDN 存储 内 容 和 文件 ， 以 提升 基于 Web 的 系统 进行 内 容 分 发 的 
性 能 ， 降 低 其 成 本 。 
e 服务 管理 (7 ) : 管理 云 基础 设施 平台 的 服务 。 这 些 工具 通常 具有 一 些 云 提供 商 未 提 

供 的 特征 ， 或 者 专门 用 于 管理 某 些 特定 应 用 的 技术 。 

o 存储 (12): 提供 大 规模 可 扩展 存储 功能 ， 可 以 用 于 各 种 应 用 、 和 备份、 存档、 文件 存储 等 。 
图 13-3 对 比分 析 了 云 服务 提供 商 为 这 3 种 主要 云 服务 模型 实现 的 功能 。 


13.2.4 ”其 他 云 服 务 


人 们 也 提出 了 许多 其 他 类 型 的 去 服务， 其 中 一 些 是 由 厂商 所 提供 的 。 这 些 额外 服务 的 清 
单 可 以 参见 ITU-T Y.3500 ( 云 计算 - 概述 和 词汇 ，2014 年 8 月 )。 
除了 SaaS, PaaS 和 IaaS 之 外 ，Y.3500 还 列举 了 如 下 一 些 有 代表 性 的 云 服 务 类 别 。 
e 通信 和 即 服务 (CaaS): 运行 时 交互 和 协作 服务 ， 以 优化 业务 流程 的 整合 。 这 一 服务 提 
供 了 不 同 设备 之 间 的 统一 接口 和 一 致 的 用 户 体验 。 典 型 例子 包括 视频 会 议 、Web 会 
议 、 即 时 通信 以 及 IP 电话 等 。 
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传统 IT ( 企业 内 ) 





操作 系统 
虚拟 化 





[C] 由 云 服务 提供 商 管理 
图 13-3 云 操 作 中 的 职责 划分 


o 计算 即 服务 ( CompaaS ) : 提供 和 使 用 部 署 和 运行 软件 需要 的 处 理 资源 。CompaaS 可 
能 会 被 当 作 简化 版 的 Iaas ， 只 关注 于 提供 计算 功能 。 
e 数据 存储 即 服务 (DSaaS): 提供 和 使 用 数据 存储 及 相关 功能 。DSaasg 描述 了 一 个 存 
储 模型 ， 其 中 客户 从 第 三 方 提供 商 处 租用 存储 空间 。 数 据 通过 因特网 由 客户 传输 至 
服务 提供 商 ， 随 后 客户 可 以 使 用 存储 提供 商 所 提供 的 软件 访问 这 些 存储 数据 。 所 提 
供 的 软件 主要 用 于 实现 一 些 存储 相 关 的 通用 工作 ， 如 数据 备份 和 数据 传输 等 。 
e 网 络 即 服务 (NaaS ) : 传输 连通 性 服务 / 云 间 网 络 连通 性 服务 。NaagS 提供 将 网 络 和 计 
算 资 源 当 作 一 个 整体 考虑 来 优化 资源 分 配 。NaaS 可 以 包括 灵活 可 扩展 的 虚拟 专用 网 
(VPN)、 按 需 网 络 带宽 、 可 定制 路 由 、 多 播 协议 、 安 全 防火 墙 、 人 侵 检测 和 防护 、 广 
域 网 (WAN)、 内 容 监测 和 过 滤 以 及 防 病毒 等 。 
Y.3500 对 云 功 能 和 云 服务 进行 了 区 分 。3 种 功能 类 型 为 应 用 、 平 台 和 基础 设施 ， 对 应 
的 基本 服务 类 型 为 SaaS, PaaS 和 IaaS。 一 个 云 服务 类 别 可 以 包括 1 到 多 个 云 功能 类 型 。 
表 13-1 给 出 了 7 种 云 服 务 类 别 和 3 种 云 功 能 类 型 之 间 的 关系 。 
表 13-1 云 服 务 类 别 和 云 功能 类 型 


云 功能 类 型 
EE EA 
cl hn in eS ana 
a | e 
eA 


ea 
en a | 
| 
wm | | 
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Y.3500 同样 给 出 了 一 些 新 型 云 服 务 类 别 的 例子 。 

© 数据 库 即 服务 : 数据 库 功能 的 按 需 使 用 ， 而 其 中 数据 库 的 安装 和 维护 由 云 服 务 提 供 
商 完 成 。 

。 桌面 即 服务 : 远程 建立 、 配 置 、 管 理 、 存 储 、 执 行 和 交付 用 户 桌 面 功 能 的 能 力 。 本 
质 上 ， 桌面 即 服 务 将 常用 的 桌面 应 用 和 数据 从 用 户 的 台式 机 或 者 笔记 本 电脑 移植 到 
云 中 ， 并 为 远程 使 用 程序 、 应 用 、 进 程 和 文件 提供 可 靠 、 一 致 的 体验 。 

e 电子 邮件 即 服务 : 一 个 完整 的 电子 邮件 即 服务 包括 相关 的 电子 邮件 支持 服务 ， 如 存 
储 、 接 收 、 发 送 、 备 份 和 恢复 。 

e 身份 即 服务 : 身份 和 访问 管理 (IAM) 可 以 扩展 和 集中 到 现 有 的 运行 环境 中 ,包括 配 
置 、 目 录 管 理 以 及 单 点 登录 服务 的 运行 等 。 

。 管理 即 服务 : 包括 应 用 管理 、 资 产 和 变更 管理 、 功 能 管理 、 问 题 管理 (服务 台 )、 项 
目 组 合 管理 、 服 务 目录 以 及 服务 等 级 管理 。 

e 安全 即 服务 : 由 云 服务 提供 商 对 现 有 工作 环境 中 的 一 组 安全 服务 进行 的 集成 ， 包 括 
鉴别 、 防 病毒 、 防 恶意 软件 / 间谍 软件 、 入 侵 检 测 以 及 安全 事件 管理 等 。 


13.2.5 Xaas 


Xaas 是 云 服 务 配置 中 的 最 新 进展 。 该 缩 略 语 包括 3 种 被 广泛 接受 的 意思 ， 而 且 这 三 种 

意思 具有 很 大 的 相似 性 。 

o 任何 即 服 务 : 这 里 任何 (anything) 表示 3 个 传统 服务 以 外 的 任何 服务 。 

e 一 切 (everything) 即 服务 : 尽管 这 一 描述 的 内 涵 看 起 来 非常 直观 ， 但 它 有 一 定 的 误 
导 性 ， 因 为 没有 一 个 广 商 能 够 提供 所 有 可 能 的 云 服务 。 这 一 描述 的 本 意 在 于 说 明 云 
服务 提供 商 可 以 提供 广泛 的 服务 。 

e X 即 服务 : 这 里 X 可 以 代表 任何 可 能 的 云 服 务 选 项 。 

XaaS 提供 商 在 以 下 3 个 方面 超越 了 传统 的 “3 大 类 ”服务 。 

o 一 些 提供 商 将 SaaS. PaaS 和 laas 打包 在 一 起 ， 因 此 客户 可 以 根据 企业 需要 的 基本 云 
服务 类 型 进行 一 站 式 采购 。 

© Xaas 提供 商 可 以 不 断 地 取代 那些 通常 由 IT 部 门 为 其 内 部 客户 所 提供 的 服务 。 这 一 策 
略 降低 了 IT 部 门 获取 、 维 护 、 打 补丁 和 升级 这 些 通用 应 用 及 服务 的 负担 。 

o Xaas 模型 通常 包括 客户 与 提供 商 之 间 持 续 的 关系 ， 其 中 存在 定期 的 状态 更 新 和 真正 
的 双向 实时 信息 交换 。 实 际 上 ， 这 是 一 个 受 管理 的 服务 ， 客 户 在 任何 时 候 只 需 提 交 
所 需要 的 服务 数量 ， 而 扩大 服务 的 数量 和 类 型 则 作为 客户 需求 的 变化 和 可 用 产品 的 
扩展 。 

由 于 Xaas 具有 如 下 一 些 优点 ， 它 对 客户 而 言 变 得 非常 有 吸引 力 。 

e 总 的 成 本 变 得 可 控 和 下 降 。 通 过 将 尽 可 能 多 的 IT 服务 外 包 给 专家 级 的 合作 伙伴 ， 企 
业 可 以 看 到 短期 和 长 期 的 成 本 下 降 。 由 于 本 地 采购 的 软 硬 件 设备 数量 的 降低 ， 资 本 
支出 将 会 显著 下 降 。 由 于 使 用 的 资源 是 根据 当前 需要 量 身 定制 的 ， 且 只 需要 根据 需 
求 的 变化 而 变化 ， 因 此 运营 成 本 同样 也 会 降低 。 

o 降低 了 风险 。Xaag 提供 商 可 以 提供 约定 的 服务 等 级 ， 消 除了 内 部 项 目 中 经 常 出 现 的 
费用 超支 的 风险 问题 。 使 用 单一 提供 商 所 提供 的 大 量 服务 同样 可 以 为 解决 问题 提供 
一 个 单一 的 联络 点 。 
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o 加 速 创新 。IT 部 门 需要 不 断 尝试 安装 新 的 软 硬 件 所 带 来 的 风险 ， 以 便 发 现 新 版 本 功 
能 更 强 、 价 格 更 优 或 者 两 者 兼 而 有 之 , 但 只 有 在 安装 完毕 后 才能 够 得 到 该 结论 。 在 
Xaas 中 ， 新 产品 可 以 更 加 快速 有 效 地 得 到 应 用 。 更 进一步 的 是 ， 提 供 商 也 可 以 更 加 
快速 地 对 客户 的 反馈 进行 反应 。 


13.3 云 部 署 模型 


在 许多 机 构 中 一 个 日 益 突 出 的 趋势 就 是 将 主要 部 分 甚至 全 部 的 信息 技术 OT) 操作 迁移 
到 企业 云 计 算 中 。 当 考虑 到 云 的 所 有 权 和 管理 问题 时 ， 这 些 机 构 面临 多 种 选择 。 本 节 将 讨论 
四 种 主流 的 云 计算 部 署 模 型 。 


13.3.1 公有 云 


公有 云 基 础 设施 面向 一 般 公众 或 大 型 产业 集团 开放 ， 且 其 所 有 权 归 属于 出 售 云 服 务 的 机 
构 。 云 提供 商 负 责 云 基础 设施 的 维护 ， 以 及 云 内 数据 和 操作 的 控制 。 公 有 云 可 以 由 商业 机 
构 、 大 学 、 政 府 组 织 所 拥有 、 管 理 和 运行 ， 它 的 软 硬 件 设施 通常 位 于 云 服 务 提供 商 的 运营 场 
所 内 。 

在 公有 云 模型 中 ， 所 有 的 主要 部 件 均 位 于 企业 防火 墙 之 外 的 多 租户 基础 设施 中 。 应 用 和 
存储 通过 安全 IP 面向 整个 因特网 提供 ， 并 可 以 免费 或 者 按 使 用 收费 。 这 种 类 型 的 云 支持 方 
便 使 用 的 客户 类 型 服务 ， 例 如 : 亚马逊 和 谷歌 的 按 需 Web 应 用 和 功能 、Yahoo! 电子 邮件 以 
及 Facebook EÈ LinkedIn 社交 媒体 所 提供 的 免费 照片 存储 等 。 尽 管 公 有 云 价 格 低廉 ， 并 具有 
良好 的 扩展 性 来 满足 需求 ， 但 它们 通常 没有 或 者 只 提供 很 低 的 服务 等 级 约定 (service level 
agreement, SLA)， 可 能 并 不 提供 避免 数据 丢失 或 者 错误 的 保证 ， 而 这 些 在 私有 云 或 者 混合 
云 中 通常 有 保证 。 公 有 云 适合 于 用 户 和 实体 并 不 要 求 获得 与 内 网 中 同样 服务 等 级 的 情况 。 并 
且 ， 公 有 的 laas 云 不 需要 提供 对 隐私 法 律 的 限制 和 遵守 ， 而 将 其 作为 用 户 或 者 企业 端 用 户 
的 责任 。 许 多 公有 云 的 重点 是 消费 者 和 中 小 型 企业 ， 并 采用 按 使 用 计 费 的 模式 ， 而 这 种 按 使 
用 计 费 常常 以 每 Gb 流量 收费 多 少 的 方式 进行 。 典 型 的 服务 例子 包括 图 片 和 音乐 共享 、 笔 记 
本 电脑 备份 以 及 文件 共享 等 。 

公有 云 最 大 的 优势 在 于 费用 ， 订 购 组 织 只 需要 为 它 所 需要 的 服务 和 资源 进行 付费 ， 且 可 
以 按 需 进行 调整 。 进 一 步 ， 订 购 者 极 大 地 降低 了 管理 成 本 。 一 个 主要 的 关注 点 是 安全 性 ， 然 
而 许多 公有 云 提供 商 已 经 展示 了 很 强 的 安全 控制 能 力 ， 并 且 相 对 于 私有 云 ， 这 些 提供 商 具 有 
更 多 的 资源 和 专业 知识 致力 于 提升 云 的 安全 性 。 


13.3.2 私有 云 


私有 云 在 一 个 组 织 机 构 内 部 的 IT 环境 中 实现 ， 该 组 织 可 能 选择 自己 管理 云 或 者 交 由 第 
三 方 机 构 进行 管理 。 此 外 ， 云 服务 器 和 存储 设备 可 能 位 于 该 组 织 内 部 或 者 位 于 该 组 织 之 外 。 

私有 云 可 以 通过 内 部 网 络 、 因 特 网 或 者 虚拟 专用 网 ( VPN) 为 员工 或 者 业务 单位 提供 
IaaS， 或 者 为 其 分 支 机 构 提供 软件 (应 用 ) 即 服 务 。 在 这 两 种 情况 下 ， 私 有 云 均 是 一 种 利用 
现 有 基础 设施 为 来 自 于 机 构 网 络 中 部 分 或 全 部 隐私 服务 提供 交付 和 收费 的 方式 。 通 过 私有 云 
分 发 的 服务 包括 按 需 的 数据 库 、 按 需 的 电子 邮件 以 及 按 需 的 存储 。 

选择 私有 云 的 一 个 关键 动机 是 安全 性 ， 私 有 云 基 础 设施 为 数据 存储 的 地 理 分 布 及 其 他 方 
面 的 安全 性 问题 提供 了 更 严格 的 控制 。 此 外 ， 其 他 方面 的 好 处 还 包括 简单 的 资源 共享 和 快速 
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部 署 到 机 构 实体 中 等 。 


13.3.3 ”社区 云 


社区 云 具 有 私有 云 和 公有 云 两 者 的 特征 。 与 私有 去 类似， 社区 云 具 有 受 限 访问 约束 。 与 
公有 云 类 似 ， 云 资源 在 许多 独立 的 机 构 之 间 共 享 。 这 些 共享 社区 云 的 机 构 具 有 相似 的 需求 ， 
并 通常 需要 在 相互 之 间 交 换 数据 。 一 个 使 用 社区 云 概念 的 产业 例子 就 是 医疗 产业 。 社 区 云 可 
以 在 遵守 政府 隐私 和 其 他 约束 下 实现 ， 这 样 社区 参与 方 能 够 通过 受 控 的 方式 交换 数据 。 

云 基础 设施 可 能 由 参与 机 构 或 者 第 三 方 进行 管理 ， 且 可 能 位 于 这 些 机 构 的 场所 内 部 或 者 
外 部 。 在 这 一 部 署 模型 中 ， 相 对 于 公有 云 ， 费 用 由 少数 用 户 分 担 (但 比 私有 云 要 多 )， 因 此 
云 计算 节约 费用 的 优势 只 得 到 了 部 分 实现 。 


13.3.4 混合 云 


混合 云 基础 设施 是 两 个 或 者 更 多 云 (私有 、 社 区 、 公 有) 的 组 合 ， 其 中 每 个 实体 均 保持 
其 独立 性 ， 但 通过 标准 化 或 者 私有 化 技术 绑 定 在 一 起 而 实现 数据 和 应 用 的 可 移植 性 (例如 ， 
用 于 云 之 间 负 和 载 均衡 的 云 爆 发 )。 在 混合 云 解决 方案 中 ,敏感 信息 可 以 放置 在 云 的 私有 区 域 
中 ， 而 非 敏感 数据 则 可 以 利用 公有 云 的 优势 。 
混合 公有 / 私有 云 解 决 方案 对 于 小 企业 更 加 具有 吸引 力 ， 他 们 可 以 在 不 需要 将 敏感 数据 
或 者 应 用 迁移 到 公有 云 中 的 情况 下 ， 显 著 地 降低 那些 安全 性 要 求 较 低 的 应 用 的 部 署 成 本 。 
K 13-2 列举 了 这 四 种 部 署 模型 的 相对 优 缺 点 。 
表 13-2 云 部 署 模 型 对 比 
C aa Joa ee 
otee | te., T as 
| 





13.4 云 体系 结构 
为 了 对 云 系统 中 的 元 素 有 更 好 的 了 解 ， 本 节 将 具体 分 析 两 种 参考 体系 结构 。 


13.4.1 NIST 云 计 算 参 考 体系 结构 


NIST SP 500-292 “NIST 云 计算 参考 体系 结构 ”中 (2011 年 9 A) 给 出 了 一 个 参考 体系 
结构 ， 具 体 描述 如 下 : 

NIST 云 计 算 参 考 体 系 结构 聚焦 于 需要 提供 什么 样 的 云 服 务 ， 而 非 如 何 设计 解决 方案 和 
实现 。 该 参考 体系 结构 的 目的 在 于 促进 对 云 计算 业务 复杂 性 的 理解 ， 并 不 提供 某 个 具体 的 云 
计算 系统 的 体系 结构 。 它 只 是 一 个 工具 ， 支 持 使 用 一 个 通用 参考 框架 来 描述 、 讨 论 和 开发 系 
统 相 关 的 体系 结构 。 

NIST 在 设计 参考 体系 结构 时 遵循 了 如 下 目标 : 

© 在 整体 云 计算 的 概念 模型 背景 下 说 明和 理解 各 种 云 服 务 。 

e 为 消费 者 理解 、 讨 论 、 分 类 和 对 比 云 服 务 提供 一 个 技术 参考 。 
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© 方便 对 安全 性 、 互 操作 以 及 可 移植 性 等 方面 的 候选 标准 和 参考 实现 进行 分 析 。 

云 计 算 参与 方 

根据 角色 和 职责 ， 图 13-4 描述 的 参考 体系 结构 定义 了 下 列 5 类 主要 参与 方 。 

云 消费 者 : 维护 与 云 提供 商 的 商业 关系 并 使 用 其 所 提供 的 服务 的 个 人 或 机 构 。 

云 提供 商 (CP): 负责 为 相关 方 提供 服务 的 个 人 、 机 构 或 者 实体 。 

云 审计 者 : 可 以 对 云 实现 中 的 云 服 务 、 信 息 系统 操作 、 性 能 和 安全 性 进行 独立 评估 
的 当事人 。 

BRE: 管理 云 服务 的 使 用 、 性 能 和 交付 ， 并 在 CP 和 云 消费 者 之 间 协 商 关 系 的 实体 。 
云 承载 商 : 在 CP 和 云 消费 者 之 间 提 供 云 服 务 的 连通 性 和 传输 的 中 间 商 。 
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图 13-4 NIST 云 计 算 参 考 体系 结构 


云 消费 者 和 提供 商 角色 在 前 面 已 经 进行 了 讨论 。 总 结 起 来 ， 云 提供 商 可 以 提供 一 种 或 者 
多 种 满足 云 消费 者 IT 和 业务 需求 的 云 服 务 。 对 于 三 种 服务 模型 中 的 任意 一 种 (SaaS, Paas, 
IaaS)，CP 提供 了 支持 该 服务 模型 所 需要 的 存储 和 处 理 能 力 ， 以 及 面向 云 服务 消费 者 的 云 接 
口 。 对 于 SaaS, CP 部 署 、 配 置 、 维 护 并 更 新 云 基础 设施 中 软件 应 用 的 操作 ， 以 便 按照 云 消 
费 者 期 望 的 服务 等 级 提供 服务 。Saag 的 消费 者 可 以 是 为 他 们 的 成 员 提供 访问 软件 应 用 功能 
的 机 构 、 直 接 使 用 软件 应 用 的 端 用 户 ,或 者 是 为 端 用 户 配置 应 用 的 软件 应 用 管理 员 。 

对 于 PaaS, CP 管理 平台 的 计算 基础 设施 ， 并 负责 运行 为 平台 提供 组 件 的 云 软件 ， 包 括 
运行 时 软件 执行 堆栈 、 数 据 库 以 及 其 他 中 间 件 组 件 等 。Paasg 的 云 消费 者 可 以 使 用 CP 提供 的 
这 些 工 具 和 执行 资源 来 开发 、 测 试 、 部 署 和 管理 托管 在 云 环境 中 的 应 用 。 

对 于 IaaS, CP 获取 服务 的 基本 物理 计算 资源 ， 包 括 服 务 器 、 网 络 、 存 储 和 托管 基础 设 
施 。IaaS 云 消费 者 使 用 这 些 计 算 资源 ， 如 虚拟 机 ， 以 满足 他 们 的 基本 计算 需求 。 

云 承载 商 是 一 个 网 络 设施 ， 负 责 在 云 消费 者 和 CP 之 间 提 供 云 服务 的 连通 性 和 传输 。 通 
常情 况 下 ，CP 会 与 云 承载 商 之 间 约 定 一 个 SLA， 以 便 为 其 消费 者 提供 的 服务 满足 SLA 的 要 
求 。 此 外 ，CP 也 可 能 会 要 求 云 承载 商 在 云 消费 者 和 CP 之 间 提 供 专用 和 安全 的 连接 。 

当 云 服务 对 云 消费 者 而 言 过 于 复杂 而 难以 管理 时 ， 云 代理 就 可 以 发 挥 其 作用 。 云 代理 可 
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以 在 以 下 三 个 领域 提供 支持 。 
e 服务 中 介 : 这 些 通常 包括 一 些 增值 服务 ， 如 标识 管理 、 性 能 报告 以 及 增强 的 安全 
性 等 。 
o 服务 聚合 : 代理 可 以 聚合 多 个 云 服 务 以 满足 单个 CP 无 法 满足 的 消费 者 需求 、 优 化 性 
能 或 者 降低 费用 。 
e 服务 仲裁 : 与 服务 聚合 相 类 似 ， 只 是 这 里 需要 聚合 的 服务 并 不 固定 。 服 务 仲 裁 意味 
着 代理 具有 从 多 个 服务 机 构 中 选择 服务 的 灵活 性 。 例 如 ， 云 代理 可 以 使 用 信用 评分 
服务 测量 和 选择 具有 最 高 评分 的 服务 机 构 。 
云 审 计 者 能 够 从 安全 控制 、 隐 私 影响 、 性 能 等 多 个 方面 对 CP 所 提供 的 服务 进行 评价 。 
审计 者 是 一 个 独立 的 实体 来 确保 CP 遵循 一 组 标准 。 
图 13-5 描述 了 这 些 参与 方 之 间 
的 交互 。 云 消费 者 可 以 直接 从 云 提 


供 商 或 者 通过 云 代理 请 求 云 服务 。 ae -og 
云 审 计 者 进行 独立 的 审计 ， 并 可 能 4 mi 
需要 与 其 他 参与 方 交互 以 收集 相关 


信息 。 该 图 还 显示 了 云 网 络 实际 上 
包括 3 个 独立 类 型 的 网 络 。 对 于 去 
生产 者 而 言 ， 网 络 体系 结构 通常 是 
一 个 大 的 数据 中 心 ， 其 中 包括 许多 
高 性 能 服务 器 和 存储 设备 ， 且 这 些 ua 
Sa SE EE PS 图 13-5 ERS SIZE. 
换 机 互 连 。 本 节 关注 的 重点 在 于 虚 
拟 机 部 署 位 置 和 迁移 、 负 载 均衡 ， 以 及 可 用 性 等 问题 。 企 业 网 通常 具有 完全 不 同 的 体系 结 
构 ， 通 常 包括 一 组 局 域 网 、 服 务 器 、 工 作 站 、PC 和 移动 设备 ， 且 在 网 络 性 能 、 安 全 性 和 管 
理 等 方面 具有 很 大 差异 。 云 承载 商 为 许多 用 户 所 共享 ， 生 产 者 和 消费 者 关注 的 是 它 创建 具有 
适当 的 SLA 和 安全 性 保证 的 虚拟 网 络 的 能 力 。 
云 提供 商 体系 结构 组 件 
图 13-4 描 述 了 云 提供 商 的 4 个 主要 体系 结构 组 件 。 服 务 编排 指 为 支持 云 提供 商 组 织 、 
协调 和 管理 计算 资源 的 行为 以 便 为 云 消费 者 提供 云 服务 而 进行 的 系统 组 件 组 合 。 编 排 是 一 个 
3 层 体系 结构 。 这 里 我 们 可 以 看 到 由 物理 资源 到 消费 者 可 见 服务 的 相似 映射 ， 该 映射 由 资源 
抽象 层 所 实现 。 资 源 抽 象 组 件 的 例子 包括 诸如 虚拟 化 管理 程序 、 虚 拟 机 、 虚 拟 数据 存储 以 及 
其 他 抽象 计算 资源 等 软件 元 素 。 
云 服务 管理 包括 管理 和 操作 云 消费 者 所 请 求 或 者 向 云 消费 者 所 提供 的 服务 所 需要 的 全 部 
服务 相关 的 功能 ， 包 括 以 下 3 个 主要 领域 。 
。 业务 支持 : 包括 处 理 客户 业务 相关 的 服务 ， 如 记 账 、 收 费 、 报 告 和 审计 。 
。 供 应 /配置 : 包括 为 消费 着 进行 云 系统 快速 部 署 、 调 整 配置 和 资源 分 配 、 监 测 和 报告 
资源 使 用 情况 的 自动 化 工具 。 
o 可 移植 性 / 互 操作 性 : 消费 者 对 支持 数据 和 系统 可 移植 性 以 及 服务 的 互 操作 性 的 云 比 
较 感 兴趣 ， 该 功能 在 混合 云 环境 中 尤为 有 用 。 在 该 环境 中 消费 者 可 能 希望 改变 数据 
和 应 用 在 内 部 站 点 及 外 部 站 点 之 间 的 分 配 。 





RIŽ x tt # 241 


对 安全 和 隐私 的 关注 贯穿 于 云 服 务 商 体系 结构 的 所 有 层次 和 元 素 。 


13.4.2 ITU-T 云 计 算 参 考 体 系 结构 


了 解 另 外 一 种 参考 体系 结构 非常 有 用 ， 该 体系 结构 于 2014 年 8 月 发 表 在 ITU-T 
Y.3502“ 云 计算 体系 结构 ”中 。 这 一 体系 结构 在 范围 上 比 NIST 体系 结构 更 广 ， 并 采用 了 分 
层 功能 体系 结构 模型 。 

云 计算 参与 者 

在 分 析 四 层 参 考 体系 结构 之 前 ， 我 们 需要 指明 NIST Al ITU-T 在 定义 云 计算 参与 者 方面 
的 差异 。ITU-T 文档 定义 了 以 下 3 类 参与 者 。 

云 服 务 客户 或 者 用 户 : 在 商业 关系 中 以 使 用 云 服务 为 目标 的 一 方 ， 这 里 商业 关系 是 与 

云 服务 提供 商 或 者 云 服 务 伙伴 建立 的 。 云 服务 客户 的 主要 行为 包括 但 并 不 限于 : 使 

用 云 服务 、 进 行商 业 管理 和 管理 云 服务 的 使 用 。 

云 服 务 提 供 商 : 使 云 服 务 可 用 的 一 方 。 云 服务 提供 商 关注 于 提供 云 服务 所 必需 的 行 

为 以 及 将 云 服务 交付 给 云 服 务 客户 和 云 服 务 维护 所 必需 的 行为 。 云 服务 提供 商 包括 

一 个 扩展 行为 集合 (例如 提供 服务 、 部 署 和 监测 服务 、 管 理 商 业 计 划 、 提 供 审 计数 

据 ) 以 及 大 量 的 子 角色 (例如 商业 管理 员 、 服 务 管理 员 、 网 络 提 供 者 、 安 全 和 风险 管 

理 员 )。 

e 云 服务 伙伴 : 为 云 服务 提供 商 或 云 服务 客户 提供 支持 或 者 辅助 行为 的 一 方 。 云 服务 
伙伴 的 行为 取决 于 其 类 型 以 及 与 云 服务 提供 商 和 云 服 务 客户 之 间 的 关系 。 典 型 的 云 ”[365] 
服务 伙伴 包括 云 审计 者 和 云 服务 代理 。 

图 13-6 描述 了 在 云 生 态 系 统 中 不 同 的 参与 者 及 其 可 能 的 角色 。 
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CSN = 云 服务 伙伴 
CSP = 云 服务 提供 商 
CSU = 云 服 务 用 户 


图 13-6 云 生 态 系统 中 的 参与 者 及 其 可 能 的 角色 






分 层 体 系 结构 l 
图 13-7 描述 了 4 层 ITU-T 云 计算 参考 体系 结构 。 用 户 层 是 用 户 接口 ， 云 服务 客户 通过 
用 户 层 与 云 服 务 提供 商 和 云 服务 进行 交互 ， 完 成 客户 相关 的 管理 行为 ， 以 及 监测 云 服 务 。 该 
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层 同样 可 以 将 云 服务 的 输出 提供 给 其 他 资源 层 的 实例 。 当 云 收 到 服务 请 求 时 ， 它 将 编排 自身 
资源 或 其 他 云 的 资源 (如 果 能 够 通过 云 间 功能 接收 其 他 云 的 资源 )， 并 通过 用 户 层 提 供 云 服 


务 。 用 户 层 是 CSU 驻 留 的 地 方 。 





图 13-7 ITU-T 云 计算 参 考 体系 结构 


接 入 层 为 人 工 或 者 自动 访问 服务 层 的 可 用 功能 提供 一 个 通用 接口 。 这 些 功 能 包括 服务 功 
能 以 及 管理 和 商业 功能 。 接 入 层 接 受用 户 /伙伴 /其 他 提供 商 的 云 服 务 消费 请 求 ， 这 些 请 求 
使 用 云 应 用 编程 接口 (API) 访问 提供 商 的 服务 和 资源 。 
接 人 层 负责 通过 一 个 或 多 个 访问 机 制 呈 现 云 服务 能 力 ， 例 如 可 以 通过 浏览 器 访问 的 网 页 
集合 ,或 者 可 以 以 编程 方式 访问 的 Web 服务 集合 。 接 入 层 还 处 理 安全 性 和 QoS 问题 。 
服务 层 包 括 云 服务 提供 商 所 提供 的 服务 的 实现 (如 SaaS、PaaS、IaaS)。 服 务 层 包含 并 
控制 实现 相关 服务 的 软件 组 件 (但 不 包括 底层 的 管理 程序 、 主 机 操作 系统 、 设 备 驱动 器 等 )， 
并 通过 访问 层 为 用 户 提 供 云 服务 。 
资源 层 包 括 提供 商 可 用 的 物理 资源 以 及 相应 的 抽象 和 控制 机 制 。 例 如 ， 虚 拟 机 管理 程序 
软件 能 够 提供 虚拟 化 网 络 、 虚 拟 化 存储 以 及 虚拟 化 主机 功能 等 。 资 源 层 同 样 维持 云 的 核心 传 
输 网 络 功能 ， 该 功能 维护 着 提供 商 和 用 户 之 间 底 层 网 络 的 连通 性 。 
多 层 功 能 包括 一 组 功能 组 件 ， 这 些 功 能 组 件 通 过 与 其 他 4 层 的 功能 组 件 相 交互 来 提供 支 
持 功 能 ， 主 要 包括 以 下 5 类 功能 组 件 。 
e 集成 : 负责 互 连 体系 结构 中 的 功能 组 件 以 创建 一 个 统一 的 体系 结构 。 集 成 功能 组 件 
在 云 体系 结构 和 其 功能 组 件 以 及 外 部 功能 组 件 之 间 提 供 消息 路 由 和 消息 交换 机 制 。 
o 安全 系统 : 负责 应 用 安全 相关 控制 以 消除 云 计算 环境 中 的 安全 威胁 。 安 全 系统 功能 
组 件 包括 支持 云 服 务 需要 的 所 有 安全 功能 。 
e 运营 支撑 系统 (OSS) : 包括 一 组 运营 相关 的 管理 功能 ， 用 于 管理 和 控制 为 客户 提供 
的 云 服务 。OSS 也 涉及 系统 监视 ,包括 使 用 告警 和 事件 等 。 
e 业务 支撑 系统 (BSS): 涵盖 与 客户 和 支持 流程 (如 计 费 和 报表 等 ) 有 关 的 一 系列 业务 
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相关 的 管理 功能 。 
© 开发 功能 : 支持 云 服 务 开发 者 的 云 计算 行为 ， 包 括 对 开发 /组合 服 务实 现 的 支持 、 对 
构建 管理 和 测试 管理 的 支持 等 。 


13.5 SDN 和 NFV 


云 计 算 的 概念 早 于 软件 定义 网 络 (SDN) 和 网 络 功能 虚拟 化 。 尽 管 云 计算 能 够 并 且 已 经 
在 没有 SDN 和 NEYV 技术 的 情况 下 进行 了 部 署 和 管理 ， 但 这 两 种 技术 对 于 公有 云 运 营 商 和 私 
有 云 运 营 商 都 非常 具有 吸引 力 。 - 

简单 而 言 ，SDN 提供 的 是 集中 式 命令 和 对 网 络 资源 及 流量 模式 的 集中 式 控 制 。 一 个 中 
心 控制 器 ， 或 者 一 些 分 布 式 协 作 的 控制 器 ， 就 能 够 配置 和 管理 虚拟 网 络 并 提供 QoS 和 安全 
服务 。 这 就 消除 了 网 络 管理 中 需要 逐个 配置 每 台 网 络 设备 的 操作 。 

NFV 实现 了 设备 的 自动 化 供应 。NFYV 虚拟 化 交换 机 和 防火 墙 等 网 络 设备 ， 以 及 计算 和 
存储 设备 ， 并 提供 相应 的 工具 以 支持 按 需 扩 展 和 自动 部 署 设备 。 因 此 ， 每 个 项 目 或 者 云 客户 
并 不 需要 独立 的 设备 或 者 对 现 有 设备 进行 重新 配置 。 相 关 设 备 可 以 通过 虚拟 机 管理 平台 进行 
集中 式 部 署 ， 并 通过 规则 和 策略 进行 配置 。 


13.5.1 服务 提供 商 视角 

大 的 云 服务 提供 商 通 常 需要 处 理 数 千 具 有 动态 能 力 需 求 的 客户 ， 这 里 动态 能 力 需 求 既 包 
括 流量 传输 能 力 ， 又 包括 计算 和 存储 资源 。 提 供 商 需要 能 够 快速 管理 整个 网 络 ， 以 处 理 流 
量 瓶 颈 、 管 理 大 量具 有 不 同 QoS 需求 的 流 并 处 理 停电 和 其 他 问题 等 ， 所 有 这 些 操作 必须 以 
安全 的 方式 进行 。SDN 能 够 提供 所 需要 的 全 局 网 络 视图 以 及 安全 、 集 中 式 管理 网 络 的 能 力 。 
提供 商 需要 能 够 为 客户 快速 和 透明 地 部 署 、 动 态 扩展 /缩减 以 及 开启 /关闭 虚拟 交换 机 、 服 
务 器 、 存 储 设备 ， 而 NFV 则 为 管理 这 一 过 程 提供 了 自动 化 的 工具 。 


13.5.2 ”私有 云 视角 


大 中 型 企业 已 经 体验 到 了 将 大 部 分 网 络 相 关 的 操作 移植 到 私有 云 或 者 混合 云 所 带 来 的 巨 
大 好 处 。 他 们 的 客户 包括 端 用 户 、IT 管理 员 以 及 开发 者 。 不 同 的 部 门 可 能 会 有 大 量 动态 的 
IT 资源 需求 。 企 业 通 常 需要 开发 部 署 一 个 或 多 个 服务 器 池 /数据 中 心 。 随 着 总 资源 需求 的 增 
加 ， 部 署 和 管理 所 有 这 些 设备 变 得 越 来 越 具有 挑战 性 。 此 外 ， 还 存在 安全 性 需求 ， 如 防火 
墙 、 防 病毒 工具 的 部 署 等 。 随 着 项 目 消耗 资源 的 增加 ， 需 要 引入 负载 均衡 机 制 ， 从 而 进一步 
增加 情况 的 复杂 性 。 因 此 对 设备 快速 可 扩展 供应 的 需求 越 来 越 强 烈 。 虚 拟 网 络 设备 的 自动 化 
供应 已 经 变 成 了 一 个 基本 要 求 。 对 所 有 新 的 虚拟 化 设备 (尤其 是 与 现 有 物理 设备 相连 接 的 虚 
拟 设备 ) 而 言 ， 集 中 式 的 命令 和 控制 已 经 成 为 一 个 必需 。SDN 和 NFV 为 企业 提供 了 相应 的 
工具 ， 可 以 成 功 地 开发 和 管理 私有 云 资源 ， 并 在 内 部 使 用 这 些 资源 。 


13.5.3 ITU-T 云 计 算 功 能 参考 体系 结构 

图 13-7 描述 了 Y.3502 中 定义 的 4 层 云 计算 参考 体系 结构 。 对 于 我 们 所 讨论 的 云 网 络 与 
NFV 之 间 的 关系 ， 可 以 参考 图 13-8 所 示 的 这 一 体系 结构 的 早期 版 本 ， 该 结构 的 详细 定义 在 
“ITU-T 云 计 算 焦点 小 组 技术 报告 ， 第 二 部 分 : 功能 需求 和 参考 体系 结构 ”2012 年 2 月 。 该 
体系 结构 同样 具有 4 层 结构 ， 但 对 于 最 底层 (资源 和 网 络 层 ) 提供 了 更 多 的 细节 。 该 层 包 括 
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369) 3 个子 屋 ， 具 体 如 下 所 述 。 

e 资源 编排 : 管理 、 监 视 和 调度 计算 、 存 储 及 网 络 资源 ， 形 成 上 面 各 层 和 用 户 可 使 用 
的 服务 。 它 控制 虚拟 化 资源 的 创建 、 人 和 修改、 定制 和 释放 。 

o 池 化 和 虚拟 化 : 虚拟 化 功能 将 物理 资源 转化 为 虚拟 机 、 虚 拟 存储 以 及 虚拟 网 络 。 这 
些 虚拟 资源 由 资源 编排 模块 根据 用 户 需 求 进行 管理 和 控制 。 池 化 和 虚拟 化 层 中 的 软 
件 和 平台 资源 包括 运行 时 环境 、 应 用 以 及 其 他 用 于 编排 和 实现 云 服 务 的 软件 资源 。 

e 物理 资源 : 计算 、 存 储 和 网 络 资源 对 于 提供 云 服 务 至 关 重 要 。 这 些 资源 可 能 位 于 云 
数据 中 心 内 部 ， 如 计算 服务 器 、 存 储 服务 器 以 及 云 内 网 络 ， 也 可 能 位 于 云 数 据 中 心 
外 部 ,通常 是 网 络 资源 ， 如 云 间 网 络 和 核心 传输 网 络 等 。 








图 13-8 ITU-T 云 计 算 功 能 参考 体系 结构 


对 比 ITU-T 体系 结构 的 资源 和 网 络 层 和 NEV 体系 结构 框架 (参考 第 7 章 中 的 图 7-7 ) 可 
以 发 现 ， 这 里 资源 和 网 络 层 可 以 使 用 网 络 功能 虚拟 化 基础 设施 (NFVI1) 实现 下 面 两 个 子 层 ， 
而 使 用 虚拟 化 结构 管理 器 VIM) 实现 资源 编排 子 层 。 因 此 ， 通 常 以 开放 软件 形式 出 现 的 通 
用 工具 ， 以 及 商业 上 现成 的 物理 资源 ， 共 同 支持 云 提供 商 高 效 部 署 和 管理 云 服 务 及 资源 。 同 
样 还 需要 一 个 高 效 的 策略 将 云 体 系 结构 中 的 多 种 上 层 功 能 映射 为 虚拟 网 络 功能 或 者 SDN 控 
制 机 应 用 层 功 能 。 因 此 ，NFV 和 SDN 均 有 助 于 云 服 务 的 部 署 。 
同样 的 分 析 也 适用 于 图 13-4 所 描述 的 NIST 参考 体系 结构 。 服 务 编排 组 件 包括 三 层 : 物 
理 资 源 层 、 资 源 抽象 与 控制 层 ， 以 及 服务 层 ， 其 中 下 面 两 层 与 NFV 体系 结构 中 的 NFVI 部 
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136 ”重要 术语 
学 完 本 章 后 ， 你 应 当 能 够 定义 下 列 术 语 。 
一 切 即 服务 (XaaS) 通信 和 即 服务 (CaaS) 
云 审计 者 Hea 


云 代理 计算 即 服务 (CompaaS ) 


云 承载 商 
云 计 算 

云 消费 者 
云 网 络 

云 提供 商 
云 服 务 客户 
云 服务 管理 
云 服 务 伙伴 
云 服务 提供 商 
云 存储 
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数据 存储 即 服 务 (DSaaS) 
混合 云 

基础 设施 即 服务 (Taas) 
网 络 即 服务 (Naas) 
平台 即 服务 (Paas) 
私有 云 

公有 云 

服务 编排 

软件 即 服 务 (Saas) 
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物 联网 : 基本 构成 





机 械 奴 隶 使 得 我 们 获得 希腊 公民 式 的 休闲 成 为 可 能 ， 每 个 自由 人 可 以 有 
12 ~~ 15 个 之 多 的 机 械 奴隶 ， 这 些 机 械 奴隶 可 以 为 我 们 提供 帮助 。 当 我 们 进入 房间 
时 ， 触 碰 一 个 按钮 后 将 过 来 一 打 帮 我 们 照 亮 道路 。 另 外 还 有 奴隶 每 天 24 小 时 守 在 
温度 调节 器 穷 帮 我 们 调节 家 里 的 温度 ; 还 有 一 个 日 夜 守 在 自动 冰箱 旁 。 它 们 能 够 帮 
助 我 们 启动 汽车 、 运 行 电 机 、 擦 亮 鞋子 并 修剪 头发 。 它 们 的 速度 非常 快 以 至 于 消除 
了 时 间 和 空间 的 概念 。 
一 一 《旁观 者 )，Jay B. Nash, 1932 
本 章 目 标 
学 完 本 章 后 ， 你 应 当 能 够 : 
o 解释 物 联网 的 范围 。 
e 列举 和 讨论 支持 IoT 的 设备 的 五 个 基本 构件 。 
1.7 节 已 经 对 物 联 网 (IoT) 的 概念 进行 了 一 个 基本 的 概述 。 本 章 和 下 一 章 将 给 出 更 详细 
的 讨论 。 本 章 首 先 讨论 IoT 的 基本 概念 和 范围 ， 随 后 14.3 节 列 举 和 讨论 支持 IoT 的 设备 的 
主要 构件 。 第 15 章 将 讨论 IoT 的 体系 结构 和 实现 。 


14.1 loT 时 代 的 开启 


未 来 因特网 将 包括 大 量 使 用 标准 通信 体系 结构 为 端 用 户 提 供 服务 的 对 象 。 据 预测 ， 数 以 
亿 计 的 这 些 设 备 在 未 来 几 年 内 将 会 进行 互联 ， 从 而 提供 物理 世界 和 计算 、 数 字 内 容 、 分 析 、 
应 用 和 服务 之 间 的 新 交互 ， 这 一 新 的 联网 模式 就 称 为 物 联网 。IoT 将 在 许多 方面 为 用 户 、 制 
造 商 及 服务 提供 商 带 来 史无前例 的 机 遇 。 能 够 从 IoT 的 数据 采集 、 分 析 以 及 自动 化 等 功能 中 
受益 的 领域 包括 健康 和 健身 、 健 康 护理 、 家 庭 监 测 和 自动 化 、 节 能 和 智能 电网 、 农 业 、 运 输 
业 、 环 境 监 测 、 库 在 和 产品 管理 、 安 人 全、 监视、 教育 等 领域 。 

技术 的 进步 正在 许多 领域 发 生 。 毫 不 奇怪 的 是 ， 围 绕 无 线 网 络 方面 的 研究 已 经 持续 了 很 
长 一 段 时 间 ， 并 被 冠 以 不 同 的 名 字 : 移动 计算 、 普 适 计算 、 无 线 传 感 器 网 络 以 及 赛 博 - 物理 
(cyber-physical) 系统 等 。 人 们 设计 开发 了 许多 方案 和 产品 用 于 低 功 耗 协议 、 安 全 和 隐私 、 
寻 址 、 低 耗费 无 线 电 、 用 于 延长 电池 寿命 的 能 量 高 效 机 制 ， 以 及 解决 在 不 可 靠 和 间歇 性 睡眠 
结 点 网 络 中 的 可 靠 性 问题 等 。 这 些 无 线 领域 的 研究 进展 对 于 IoT 的 发 展 至 关 重 要 。 此 外 ， 其 
他 领域 的 发 展 还 包括 为 IoT 设备 增加 社交 网 络 功能 、 利 用 机 器 到 机 器 通信 技术 的 优势 、 大 量 
实时 数据 的 存储 和 处 理 机 制 ， 以 及 相应 的 应 用 编程 技术 以 便 为 端 用 户 提供 到 这 些 设备 和 数据 
的 智能 接口 等 。 

许多 人 已 经 对 IoT 进行 了 描述 。 在 2014 年 《 物 联网 》 杂 志 的 一 篇 文章 中 [STAN14]， 作 
者 提出 的 一 些 个 人 收益 包括 数字 化 的 日 常生 活 行为 、 能 够 与 周围 智能 空间 通信 以 提升 舒适 
度 、 健 康 和 安全 性 的 仿生 皮肤 ， 能 够 优化 访问 城市 服务 的 智能 手表 和 身体 结 点 。 城 市 范围 的 
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收益 包括 无 交通 信号 灯 的 高 效 、 无 延迟 交通 ， 智 能 楼 宇 可 以 不 仅 控制 能 量 和 安全 性 ， 还 能 够 
支持 健康 行为 。 正 如 智能 手机 为 人 类 提供 了 接触 世界 的 新 手段 一 样 ，IoT 将 为 我 们 创建 新 的 
持续 使 用 所 需要 的 信息 和 服务 的 模式 。 不 论 人 们 对 IoT 的 看 法 如 何 ， 以 及 多 久 IoT 能 够 实现 
上 述 目 标 ， 它 的 确 提供 了 一 个 美好 的 未 来 。 


14.2 loT 领域 


ITU-T Y.2060《 物 联网 概述 》( 2012 年 6 月 ) 给 出 了 如 下 关于 IoT 领域 的 定义 。 

e 物 联网 (IoT) : 信息 社会 的 全 球 基 础 设施 ， 通 过 现 有 或 者 未 来 能 够 互 操作 的 信息 和 通 
信 技 术 互联 物理 和 虚拟 的 物 ， 从 而 提供 高 级 服务 。 

e 物 : 在 IoT 中 ,这 是 物理 世界 (物理 上 的 物 ) 或 者 信息 世界 (虚拟 的 物 ) 中 的 一 个 对 
象 ， 能 够 被 识别 和 集成 到 通信 网 络 中 。 

e 设备 : 在 IoT 中 ,设备 必须 具有 通信 功能 ， 并 可 能 具有 感知 、 执 行 、 数 据 采 集 、 数 据 

存储 以 及 数据 处 理 等 功能 。 

大 多 数 文献 将 IoT 看 作 是 智能 对 象 之 间 的 通信 。 立 2060 扩展 了 这 一 观点 ， 并 引入 了 虚拟 
物 的 概念 ， 我 们 将 在 14.4 节 详 细 讨 论 。 

Y.2060 将 IoT 描述 为 在 现 有 信息 和 通信 技术 所 提供 的 “任何 时 间 ” 和 “任何 地 点 ”通信 
的 基础 上 ， 增 加 了 一 个 新 的 “任何 物 5 
通信 ”的 维度 ， 如 图 14-1 所 示 。 

在 文献 《 物 联 网 设计 》[ MCEW 
13 ] 中 ， 作 者 将 物 联 网 的 元 素 归 结 
为 一 个 简单 的 公式 : 

物理 对 象 十 控制 器 、 传 感 器 、 执 
行 器 十 互联 网 = IoT 

这 一 公式 简洁 地 概括 了 物 联 网 的 
本 质 。 IoT 包括 一 组 物理 对 象 的 集合 ， 
其 中 每 个 对 象 图 14-1 物 联网 引入 的 新 维度 

o 包括 一 个 能 够 提供 智能 的 微 控 制 器 

e 包括 一 个 能 够 测量 一 些 物理 参数 的 传感器 ， 或 者 基于 一 些 物 理 参 数 执行 动作 的 执 

行 器 

o 提供 一 种 通过 因特网 或 者 其 他 网 络 进行 通信 的 方式 

其 中 在 Y.2060 中 定义 而 未 在 上 述 公 式 中 出 现 的 一 个 项 目 是 : 标识 每 个 物体 的 手段 ， 通 
常 称 之 为 标签 。 我 们 将 在 14.3 节 讨 论 标 签 。 

需要 指出 的 是 ， 尽 管 在 文献 中 我 们 一 直 使 用 物 联 网 这 一 词汇 ， 但 更 准确 的 描述 应 该 是 
“ 物 的 互联 网 ,或 者 “ 物 的 网 络 ”。 例 如 ， 一 个 智能 家 庭 网 络 中 可 能 包括 大 量 通过 Wi-Fi 或 
者 蓝牙 连接 到 中 心 控制 器 的 物体 。 在 一 个 工厂 或 者 农场 中 ， 可 能 存在 一 个 由 大 量 物体 所 组 成 
的 网 络 ， 以 支持 企业 应 用 与 环境 进行 交互 ， 以 及 运行 各 种 利用 上 述 网 络 的 应 用 等 。 在 这 些 例 
TH, 通常 存在 经 由 因特网 的 远程 访问 功能 。 需 要 指出 的 是 ， 是 否 存在 这 样 的 因特网 连接 、 
智能 对 象 的 集合 、 加 上 其 他 本 地 计算 和 存储 设备 等 因素 可 以 用 来 刻画 为 究竟 是 一 个 网 络 或 者 
是 一 个 物 联网 。 

基于 Beechem 研究 中 的 一 幅 图 ， 表 14-1 给 出 了 关于 IoT 范围 的 一 种 思路 。 










-计算 机 之 间 
-人 之 间 ， 不 使 用 计算 机 
-人 与 物 ， 使 用 一 般 设 备 
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R141 物 联 网 
服务 行业 设备 例子 


服务 、 电 子 商务 、 数 据 中 心 、 移 动 运 营 商 、 


$ 
> 


服务 器 、 存 储 、PC、 路 由 


IT 和 网 络 ISP 器 、 交 换 机 、PBX 
IT/ 数据 中 心 、 办 公 室 、 私 有 网 络 


监视 设备 ,， 追 | 雷达 /卫星 、 军 事 安 全 、 无 人 设备 、 武 器 、| 坦克、 战斗 机 、 战 场 通信 
踪 器 机 动车 、 舰 船 、 飞 行 器 、 汽 车 装置 、 吉 普 车 











安全 /公共 安全 5 人 、 动 物 、 邮 政 、 食 物 / PRE. KE, 行 | 汽车 、 故 障 车 道 工人 、 国 
李 、 水 处 理 、 建 筑 环境 、 通 用 环境 EZE. WD. 
紧急 服务 设备 和 员工 、 公 安 、 消 防 、 监 管 救护 车 、 公 共 安 全 车 


加 油 站 、 游 戏 、 保 龄 球 、 电 影院 过 斯 科 、 
| 特色 服务 业 | 特殊 事件 POS 终端 、 标 签 、 收 银 机 、 
零售 a 


酒店 、 宾 馆 、 酒 吧 、 咖 啡 厅 、 俱 乐 部 自动 贩卖 机 、 标 志 


零售 业 超市 、 购 物 中 心 、 单 站 点 、 分 发 中 心 


非 汽车 行业 航空 、 铁 路 、 海 运 





汽车 、 灯 光 、 轮 船 、 飞 机 、 


交通 运输 业 消费 者 、 商 业 、 结 构 、 越 野 he 
A7) ` 
收费 站 、 流 量 管理 、 导 航 


管道 、 物 料 处 理 、 运 输 a i de 
` lJ. ar, i ` 
转化 、 高 散 | (Em S RE BR. SRNT EFi ei aa Bae. SR 
= RE 器 、 制 造 、 组 装 /包装 、 船 
石油 化 工 、 碳 氢化 合 物 、 食 品 与 饮料 i he ` 
资源 自动 化 采矿 、 灌 溉 、 农 业 、 林 地 


医院 、ER、 移 动 PoC、 诊 所 、 实 验 室 、 医 
as 生 办 公 室 MRI, PDA, fiA%. FA 
医疗 保健 和 生命 科学 


tks, KE | 植 入 物 、 家 庭 监测 系统 es Er aeRO RR 
药物 发 现 、 诊 断 、 实 验 室 
基础 设施 接线 、 网 络 接 和 人 、 能 量 管理 数码 相机 、 电 力 系统 、 洗 


P 安全 /告警 、 消 防 安全 、 环 境 安全 、 老 人 、| 碗 机 、 电 子 书 阅读 器 、 台 式 电 
消费 者 与 家 庭 名人- 儿童 、 电 力 保护 脑 、 洗 衣 机 / 烘 干 机 、 仪 表 、 
电视 .MP3 、 游 戏 机 、 照 明灯 、 

便利 性 和 娱乐 | ， 暖 通 空调 /气候 、 照 明 、 家 电 ; 娱乐 报警 器 


工业 


发 电 : 运输 配送 、 低 压 、 电 力 质量 、 能 源 


oe 太阳 能 、 风 能 、 热 电 联 产 、 电 化 学 aay a ao. 
FEOL ee 


办 公 室 、 教 育 、 零 售 、 酒 店 、 医 疗 保健 、 


商业 , 机构 diis krg a 
工艺 、 无 菌 室 、 园 区 et 


来 源 : Beecham Research 


14.3 具有 loT 功能 的 物 的 组 成 


具有 IoT 功能 的 物 的 核心 要 素 包 括 传感器 、 执 行 器 、 微 处 理 器 、 通 信 手 段 (发 送 -接收 
ae) 以 及 标识 机 制 (射频 识别 [RFID])。 通 信 手 段 是 一 个 核心 要 素 ， 和 否则 设备 无 法 加 入 网 络 
中 。 不 论 多 么 原始 ， 几 乎 所 有 具有 IoT 功能 的 物 均 具 有 一 定 的 计算 能 力 。 除 此 之 外 ， 一 个 设 
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备 可 能 还 会 有 一 个 或 者 多 个 其 他 要 素 。 我 们 将 在 本 节 讨 论 其 中 每 个 要 素 。 


14.3.1 传感器 


传感器 测量 物理 、 化 学 或 者 生物 体 的 一 些 参数 ， 并 以 模拟 或 者 数字 信和 号 的 方式 传递 一 
个 与 被 观测 特性 成 正比 的 电信 号 。 传 感 器 的 输出 通常 作为 微 处 理 器 或 者 其 他 管理 元 素 的 
输入 。 


“ 传 感 句 ”将 物理 、 生 物 或 者 化 学 参数 转化 为 电信 号 的 设备 。 


图 14-2 的 左 侧 改 编 自 文献 《具有 模式 和 框架 的 中 间 件 体系 结构 》[KRAK09] 中 的 一 幅 图 ， 
其 中 展示 了 传感器 和 该 传感器 相应 的 控制 器 之 间 的 接口 。 传 感 器 可 以 周期 性 地 或 者 在 超过 某 
个 靖 值 时 主动 发 送 传 感 数据 到 控制 器 ， 称 之 为 主动 模式 。 此 外 ， 传 感 器 也 可 以 工作 于 被 动 模 
式 ， 仅 当 在 控制 器 请 求 时 才 提 供 数据 。 





图 14-2 ”传感器 和 执行 器 接口 


传感器 类 型 

在 IoT 部 署 过 程 中 使 用 的 传感器 类 型 数量 巨大 。 传 感 器 可 能 非常 小 ， 使 用 纳米 技术 ， 或 
者 非常 巨大 ， 如 监视 摄像 机 。 传 感 器 可 以 独立 部 署 ， 或 者 少数 几 个 一 起 部 署 ， 甚 至 大 量 传 感 
器 一 起 部 署 。 表 14-2 参考 自 《 发 明 者 电子 设计 宝典 》[SCHE13]， 列 举 了 多 种 传感器 类 型 ， 
以 及 每 种 类 型 的 典型 例子 。 

表 14-2 ”传感器 类 型 
设备 例子 

位 置 测量 


用 于 检测 和 反映 设备 角度 或 者 线性 位 | ”电位 计 、 线 性 位 置 传感器 、 和 皮尔 效应 位 置 传感器 、 磁 阻 角 
设备 置 的 变化 测量 仪 、 编 码 器 〈 积 分 式 、 增 量 旋转 式 、 绝 对 旋转 式 、 光 学 ) 


临近 度 和 | ”用 于 检测 和 反映 传感器 监测 范围 内 外 | ”超声 测 距 、 光 反射 、 光 槽 、PIR (被 动 红 外 )、 感 应 测 距 、 
运动 传感器 | 部 物体 的 移动 电容 测 距 、 磁 簧 开关 、 触 摸 开关 


加 速 计 、 电 位 计 、 测 斜 计 、 陀 螺 仪 、 振 动 传感器 / 开关 、 
用 于 检测 和 反映 传感器 的 物理 移动 













种 类 


















倾斜 传感器 、 压 电 冲 击 传感器 、 线 性 可 变 差 动 转换 器 /旋转 
可 变 差 动 转换 器 (LVDT/RVDT) 


374 
1 
377 


378 
1 
379 
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( 续 ) 


但 
UK 


设备 例子 


种 类 
IC 气压 计 、 应 变 仪 、 压 力 电 位 计 、LVDT、 硅 传感器 、 压 
压力 / 力 | 用 于 检测 施加 到 设备 上 的 力 阻 式 传感器 、 电 容 式 传感器 


光学 设备 | ， 用 于 检测 光 的 存在 或 者 传感器 上 光 的 | LDR、 光 敏 二 极 管 、 光 电 晶体 管 、 对 射 型 光电 开关 、 反 光 
ed 变化 传感器 、IrDA 收发 器 、 大 阳 能 电池 、LTV (光电 压 ) 传感器 
图 像 ， 相 | 用 于 检测 并 将 可 视图 像 转换 为 数字 

机 设备 a ea 


磁力 装置 | ”用 于 检测 和 响应 磁场 的 存在 霍 尔 效应 传感器 、 磁 性 开关 、 线 性 罗盘 IC 、 干 簧 传感器 


媒体 设备 a 气体 、 烟 雾 、 水 汽 、 潮 湿 、 灰 尘 、 浮 子 水 平 、 流 体 流动 
电流 和 电 | ”用 于 检测 和 响应 电线 或 电路 中 电流 的 | MRO ERR. 直流电 流 传感器、 交流电 流传 感 
压 设备 。 “| 变化 器 、 电 压 传感器 


NTC 热 敏 电阻 、 PTC 热 敏 电 阻 器 、 电 阻 温度 检测 器 
AERE RAA ERNA | RrD)、 热 电 侦 、 热 电 堆 、 数 字 集 成 电路 、 模 拟 集成 电路 、 
红外 温度 计 、 高 温 计 
用 于 特殊 情况 下 提供 检测 、 测 量 或 响 
应 功能 ， 也 可 能 会 同时 包含 多 种 功能 音频 麦克 风 、Geiger-Miiller 管 、 化 学 品 


精度 、 准 确 度 和 解析 度 

在 讨论 传感器 时 需要 区 分 两 个 重要 的 概念 : 精度 与 准确 度 。 准 确 度 指 测 量 值 与 真实 值 之 
间 的 接近 程度 ， 如 图 14-3 中 的 靶 心 所 示 。 精 度 指 对 同一 物理 量 的 多 次 测量 之 间 的 接近 程度 。 
如 果 一 个 传感器 具有 较 低 的 准确 度 ， 则 容易 造成 系统 误差 。 如 果 一 个 传感器 具有 较 低 的 精 
度 ， 则 会 造成 可 重 现 性 误差 。 


.对 同一 Atesan- 致 性 程度 ， 以 从 一 系列 测量 结果 计算 出 的 标准 偏差 来 
relies Seer or test 


准确 度 测量 结果 与 被 测量 的 真实 值 之 间 的 一 致 性 接近 程度 。 可 以 作为 准确 性 的 定性 
评估 ， 或 者 免 于 错误 程度 ， 或 者 对 误差 的 预期 幅度 的 定量 测量 。 


高 准确 度 低 准确 度 





图 14-3 ”精度 和 准确 度 


与 精度 相关 的 一 个 概念 是 解析 度 。 如 果 一 个 传感器 具有 高 精度 ， 物 理 量 的 非常 小 的 变化 
将 导致 传 感 咒 测 量 值 非常 小 的 变化 。 如 果 传 感 器 的 输出 是 数字 的 ， 需 要 更 多 的 比特 来 表示 测 
量 结 果 以 便 描述 这 些 底层 物理 参数 的 小 变化 。 
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解析 度 测量 结果 可 以 区 分 开 的 最 小 可 分 辨 的 增 量 。 


14.3.2 ”执行 器 


执行 器 从 控制 器 处 接收 电信 号 ， 并 通过 与 其 环境 相交 互 以 对 物理 、 化 学 或 者 生物 实体 的 
某 些 参数 产生 作用 。 图 14-2 的 右边 部 分 展示 了 执行 器 和 相应 的 控制 器 之 间 的 接口 。 在 直接 
操作 模式 下 ， 控 制 器 发 送信 号 激活 执行 器 。 在 回调 模式 下 ， 执 行 器 在 完成 任务 或 者 出 现 问题 
时 通知 控制 器 ， 并 请 求 下 一 步 的 指令 。 


执行 器 “一 个 接收 电子 信号 并 将 其 转化 为 物理 、 化 学 或 者 生物 行为 的 设备 。 


一 般 情 况 下 ， 执 行 器 可 以 划分 为 如 下 几 类 。 

o 液压 型 : 液压 型 执行 器 包括 一 个 使 用 水 能 的 圆柱 或 者 流体 形状 的 发 动机 以 进行 机 械 
运动 ， 且 机 械 运动 的 输出 形式 为 线性 、 圆 周 式 或 者 振动 式 等 。 

气压 型 : 气压 型 执行 器 与 液压 型 执行 器 的 工作 原理 相似 ， 只 是 在 工作 过 程 中 采用 压 
缩 气体 而 非 液 体 。 根 据 执 行 器 类 型 的 不 同 ， 以 压缩 气体 方式 存在 的 能 量 被 转化 为 线 
性 或 者 圆周 式 运动 模式 。 

电动 型 : 电动 型 执行 器 由 能 够 将 电能 转化 为 机 械 能 的 电动 机 所 驱动 。 

机 械 式 : 将 圆周 式 运动 转化 为 线性 运动 的 功能 ， 并 使 用 诸如 齿轮 、 轨 道 、 滑 轮 、 链 
条 和 其 他 工具 等 帮助 实现 这 一 转化 过 程 。 


14.3.3 (ade til ae 


BE HIE TS FP HOE BE H DR RE Hi A AE HEE, ASAT Se EM EER SFA PR 
thle A BE Ao 

RAK RSE 

De 55) Fie Wn BS A HTL, BRAR SET RE RD BE A EE 
合 的 电子 器 件 和 软件 所 构造 的 产品 。 每 年 出 售 的 计算 机 数量 达到 数 亿 台 ,包括 笔记 本 电脑 、 
个 人 计算 机 、 工 作 站 、 服 务 器 、 大 型 机 ， 以 及 超级 计算 机 等 。 另 一 方面 ， 每 年 生产 的 微 控制 
器 数量 达到 数 百 亿 台 ， 这 些微 控制 器 被 府 人 到 一 些 大 型 设备 中 。 今 天 绝 大 多 数 使 用 电能 的 设 
备 均 拥 有 一 个 嵌入 式 计 算 系 统 。 在 不 和 久 的 将 来 ， 几 乎 所 有 的 设备 均 将 具有 艇 人 式 计 算 系统 。 


BARK 任何 包括 计算 机 芯片 但 又 不 是 通用 工作 站 、 人 台式 机 或 者 笔记 本 电脑 的 
设备 。 i 


具有 嵌 人 式 系 统 的 设备 类 型 数量 过 于 巨大 而 无 法 详细 列举 ， 典 型 代表 包括 蜂窝 电话 、 数 
码 相 机 、 摄 像 机 、 计 算 器 、 微 波 炉 、 家 庭 安 全 系统 、 洗 衣 机 、 照 明 系 统 、 温 度 调节 器 、 打 印 
机 、 各 种 车 载 系 统 (如 变速 箱 控 制 、 巡 航 控 制 、 燃 料 加 注 、 防 抱 死 制 动 系统 、 悬 架 系统 等 )、 
网 球拍 、 牙 刷 ， 以 及 自动 化 系统 中 大 量 的 传感器 和 执行 器 。 

通常 ， 艇 入 式 系统 与 它们 的 应 用 环境 紧密 耦合 ， 这 会 产生 与 环境 交互 所 导致 的 实时 性 约 
束 。 例 如 ， 特 定 移动 速度 的 约束 、 特 定 测量 精度 的 约束 、 特 定时 间 周 期 的 约束 等 决定 了 软件 
操作 的 时 间 限 制 。 如 果 需 要 同时 管理 多 个 行为 ， 将 会 带 来 更 加 复杂 的 实时 性 约束 。 

图 14-4 展示 了 通常 意义 下 骨 入 式 系统 的 组 织 结构 ， 除 处 理 器 和 存储 器 之 外 ， 还 有 如 下 
许多 与 传统 桌面 计算 机 或 者 笔记 本 电脑 不 同 的 元 素 。 
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o 可 能 存在 大 量 的 接口 支持 系统 测量 、 RARA PARA BEACH. RAM ABA 
通过 传感器 或 者 执行 器 与 外 部 世界 交互 (感知 、 操 纵 、 通 信 )， 因 此 通常 形成 一 个 反 
应 式 系统 。 这 里 反应 式 系统 指 系统 持续 与 外 部 环境 相交 互 ， 并 按照 环境 所 决定 的 节 
奏 执 行 。 

e 人 机 接口 可 能 简单 如 闪光 灯 ， 或 者 复杂 如 机 器 人 视觉 。 大 多 数 情况 下 可 能 并 不 存在 
人 机 接口 。 

o 诊断 端口 可 以 被 用 于 诊断 所 控制 的 系统 ， 而 非 仅 用 于 诊断 计算 机 。 

e 特殊 用 途 的 FPGA 、ASIC， 甚 至 非 数字 硬件 均 可 以 用 来 提高 系统 的 性 能 或 者 可 靠 性 。 

o 软件 通常 具有 固定 的 功能 ， 且 与 应 用 密切 相关 。 

© 效率 在 人 艇 入 式 系统 中 具有 首要 地 位 ， 需 要 在 能 耗 、 代 码 规模 、 执 行 时 间 、 重 量 和 体 
只， 以 及 价格 等 方面 进行 优化 。 





图 14-4 骨 入 式 系统 的 可 能 组 织 结构 


另外 ， 和 能 入 式 系 统 也 有 许多 与 通用 计算 机 系统 相 类 似 的 方面 : 

e 即便 对 于 一 些 功能 固定 的 软件 而 言 ， 具 有 修复 错误 、 提 升 安全 性 以 及 增加 功能 等 系 
统 升级 的 能 力也 非常 重要 。 

e 近来 的 一 个 典型 发 展 趋势 就 是 嵌入 式 系 统 作为 一 个 基础 平台 ,可 以 在 其 上 运行 大 量 
的 应 用 ， 如 智能 手机 、 智 能 电视 等 音频 / 视频 设备 。 

应 用 处 理 器 与 专用 处 理 器 ` 

应 用 处 理 器 指 具有 运行 诸如 Linux, Android 和 Chrome 等 复杂 操作 系统 能 力 的 处 理 器 。 
因此 ， 应 用 处 理 器 本 质 上 具有 通用 性 的 特征 。 智 能 手机 是 使 用 扔 入 式 应 用 处 理 器 的 典型 例 
子 ， 这 里 舰 入 式 系统 被 设计 为 支持 大 量 的 应 用 ， 并 能 够 完成 多 种 功能 。 

大 多 数 租 入 式 系统 使 用 专用 处 理 器 。 正 如 其 名 字 所 示 ， 专 用 处 理 器 专注 于 完成 一 个 或 者 
少数 几 个 特定 的 任务 。 由 于 这 样 的 嵌入 式 系统 只 面向 特定 的 任务 或 者 任务 集合 ， 因 此 可 以 简 
化 处 理 器 和 相应 组 件 的 设计 ， 以 降低 大 小 和 成 本 。 

微 处 理 器 

早期 的 微 处 理 器 芯片 包括 寄存 器 、 算 术 / 逻辑 单元 (ALU)、 一 些 控制 单元 或 指令 处 理 
逻辑 。 随 着 晶体 管 密度 的 增加 ， 增 加 指令 集体 系 结构 的 复杂 性 、 增 加 存储 容量 和 采用 多 个 处 
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理 器 等 均 变 得 可 行 。 现 代 微 处 理 器 芯片 包括 多 个 处 理 器 ( 称 之 为 多 核 ) 以 及 数量 可 观 的 缓存 。 
然而 ， 如 图 14-5 所 示 ， 微 处 理 器 芯片 仅 包括 一 个 完整 计算 机 系统 的 部 分 组 件 。 


微 处 理 器 元件 被 微型 化 到 一 个 或 者 几 个 集成 电路 中 的 处 理 器 。 


大 多 数 计算 机 ， 包 括 智能 手机 和 平板 电脑 中 的 舱 入 式 计算 机 ， 以 及 个 人 电脑 、 笔 记 本 电 
脑 、 工 作 站 等 ， 均 承载 于 主板 上 。 在 描述 这 一 组 织 结构 之 前 , 我 们 首先 需要 定义 一 些 术 语 。 
印刷 电路 板 是 一 个 坚硬 的 平板 ， 用 于 固定 和 互联 芯片 及 其 他 电子 元 器 件 。 电 路 板 由 多 层 组 
成 ， 通 常 有 2 ~ 10 层 ， 通 过 蚀刻 在 板子 上 的 铀 导线 互联 元 器 件 。 计 算 机 中 最 主要 的 印刷 电 
路 板 (PCB) 称 为 系统 板 或 者 主板 ， 其 他 插 在 主板 插 模 上 的 小 印刷 电路 板 称 作 扩展 板 。 383 





指令 arsen [maz 
Dm || 单元 《ALU )| | tops 


ERa] | ; 
[2 指令 缓存 | | 12 数 据 缓存 | | 


图 14-5 多 核 计 算 机 主要 元 件 的 简化 视图 


主板 上 最 主要 的 元 素 就 是 芯片 。 一 个 芯片 是 一 片 增加 了 电子 线路 和 逻辑 门 的 半导体 材料 
(通常 是 硅 )， 所 形成 的 产品 通常 称 为 集成 电路 。 
主板 包括 一 个 处 理 顺 芯片 的 插 槽 ， 该 芯片 通常 包括 多 个 核 ， 称 之 为 多 核 处 理 器 。 此 外 ， 
还 包括 存储 芯片 、LIO 控制 器 世 片 ， 以 及 其 他 关键 计算 机 元 件 的 插 槽 。 对 桌面 计算 机 而 言 ， 
扩展 槽 使 得 系统 能 够 在 扩展 板 上 增加 更 多 的 元 件 。 因 此 ， 现 代 主 板 通常 只 连接 部 分 独立 的 忆 
片 元 件 ， 而 每 个 芯片 则 包括 数 千 至 数 千 万 个 晶体 管 。 384 
微 控制 器 
微 控 制 器 芯片 在 使 用 逻辑 可 用 空间 时 具有 非常 大 的 差异 。 图 14-6 描述 了 微 控制 句 世 
片 中 的 常见 元 件 。 如 该 图 所 示 ， 微 控制 器 是 一 个 包括 核心 、 保 存 程序 的 非 易 失 存储 单元 
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(ROM)、 用 于 输入 输出 的 易 失 存储 单元 (RAM)、 时 钟 ， 以 及 IO 控制 单元 的 芯片 。 相 对 于 
其 他 微 处 理 器 ， 处 理 器 部 分 在 微 控 制 器 中 所 占 的 区 域 非 常 小 ， 因 此 在 能 耗 方面 也 非常 高 效 。 


微 控制 器 “单一 的 芯片 ,包括 处 理 器 、 保 存 程序 的 非 易 失 存储 单元 (ROM 或 者 闪 
存 )、 用 于 输入 输出 的 易 失 存储 单元 CRAM), H4, 以 及 1/O 控制 单元 ， 有 时 也 称 作 片 上 
计算 机 。 





图 14-6 典型 的 微 控 制 器 芯片 元 件 


微 控制 器 有 时 也 被 称 作 片 上 计算 机 ， 每 年 有 数 十 亿 的 微 控制 右 单 元 被 嵌入 到 大 量 的 产品 
中 , 包括 玩具 、 家 用 电器 、 汽 车 等 。 例 如 ， 一 辆 汽车 可 能 使 用 70 种 或 以 上 的 微 控 制 器 。 通 
常情 况 下 ， 尤 其 是 小 的 、 价 格 便宜 的 微 控制 器 一 般 被 用 作 处 理 某 些 特定 任务 的 专用 处 理 器 。 
例如 ， 自 动 化 领域 大 量 使 用 各 种 微 控制 器 。 通 过 提供 简单 的 输入 响应 机 制 ， 它 们 可 以 用 于 控 
制 机 器 、 开 关 风 扇 、 开 关 阀 门 等 。 微 控制 器 已 经 成 为 现代 工业 技术 中 必 不 可 少 的 部 分 ， 并 且 
是 降低 各 种 复杂 功能 的 机 械 生产 成 本 的 一 种 重要 手段 。 

微 控制 器 具有 不 同 的 大 小 和 处 理 能 力 。 处 理 器 体系 结构 从 4 位 一 32 位 。 微 控制 器 的 运 
行 速度 一 般 是 兆赫 效 (MHz)， 通 常 比 微 处 理 器 的 吉 赫 效 (GHz) 要 慢 很 多 。 微 控制 器 的 另 一 
个 典型 特征 是 它 并 不 提供 用 户 接 口 。 微 控制 絮 被 编程 用 于 处 理 特定 的 任务 ,， 舱 入 到 特定 的 设 
备 中 ， 并 按 要 求 运 行 相应 的 功能 。 

深度 嵌入 式 系 统 

肯 入 式 系统 中 有 一 大 类 被 称 为 深度 财 入 式 系 统 。 尽 管 这 个 词汇 在 技术 和 商业 资料 中 被 广 
泛 使 用 ， 却 难以 通过 因特网 搜索 该 词汇 的 准确 定义 (至 少 本 书 的 作者 发 现 是 如 此 )。 一 般 来 
说 ,我 们 可 以 说 深度 舱 入 式 系统 具有 一 个 这 样 的 处 理 器 ， 其 行为 很 难 被 程序 员 和 用 户 所 观察 
到 。 深 度 舱 入 式 系 统 使 用 微 控制 器 而 非 微 处 理 器 ， 其 程序 逻辑 在 生产 过 程 中 已 经 被 固化 在 
ROM (只 读 存储 器 ) 中 ， 且 没有 与 用 户 之 间 的 交互 。 

深度 戏 人 式 系 统 是 专用 、 单 一 目标 的 设备 ， 用 于 检测 环境 中 的 一 些 情况 ， 完 成 一 些 基本 
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的 环境 中 ， 如 部 署 在 某 个 较 大 区 域内 〈 例 如 工厂 、 农 田 等 ) 的 传感器 结 点 所 组 成 的 网 络 。 物 
联网 主要 依赖 于 深度 嵌入 式 系统 。 通 常情 况 下 ， 深 度 做 人 式 系统 具有 苛刻 的 资源 约束 ， 包 括 
存储 、 处 理 器 大 小 、 时 间 ， 以 及 电池 消耗 等 。 


14.3.4 收发 器 


收发 器 包括 发 送 和 接收 数据 所 需要 的 电子 元 器 件 。 大 多 数 IoT 设备 包括 一 个 收发 器 ， 能 
够 使 用 Wi-Fi, ZigBee 或 者 其 他 无 线 机 制 进行 通信 。 


收发 器 ”能 够 发 送 和 接收 信息 的 设备 。 


图 14-7 通过 一 个 简化 的 框图 展示 了 收发 器 的 基本 组 件 。 该 图 的 上 面部 分 是 发 射 器 ， 以 
一 些 模拟 或 者 数字 输入 信号 作为 输入 ， 并 随后 将 信号 调制 到 一 个 载波 频率 上 。 这 一 过 程 通过 
调制 器 完成 ， 其 输入 即 为 源 信号 以 及 振荡 器 所 产生 的 载波 。 调 制 好 的 信号 在 经 过 一 个 或 多 个 
放大 器 后 ， 从 天 线 被 发 射出 去 。 

图 14-7 的 下 面部 分 是 接收 器 ， 其 输入 即 为 天 线 所 接收 到 的 信号 。 低 噪声 放大 器 (LNA) 
是 一 个 用 于 放大 非常 微弱 信号 (如 天 线 接收 到 的 信号 ) 的 电子 放大 器 ，LNA 被 设计 为 能 够 放 
大 感 兴趣 信号 的 功率 ， 同 时 有 尽 可 能 小 的 噪声 引入 和 失真 情况 。 信 和 号 经 过 LNA 之 后 ， 通 过 
一 个 滤波 器 消除 或 者 降低 那些 不 需要 的 噪声 和 信和 号 成 分 ， 然 后 通过 解 调 器 将 滤波 器 的 输出 转 
化 为 所 期 望 的 基带 模拟 或 者 数字 信号。 


信号 





低 品 声 放 大 器 
图 14-7 简化 的 收发 器 框图 


14.3.5 RFID 


射频 识别 ( Radio-frequency identification, RFID) 技术 通过 使 用 无 线 电波 来 识别 物体 ， 
目前 已 经 逐渐 成 为 IoT 中 的 一 种 支撑 技术 。RFID 系统 的 主要 元 素 包 括 标签 和 读 写 器 。RFID 
标签 是 可 以 用 于 物体 、 动 物 及 人 类 追踪 的 微型 可 编程 设备 ， 其 形状 、 大 小 、 功 能 和 成 本 多 种 
多 样 。RFID 读 写 器 获取 (有 时 也 重 写 ) 存储 在 其 操作 范围 内 的 RFID 标签 中 的 信息 ， 该 范围 
通常 从 数 英寸 到 数 英尺 ?3。 读 写 器 通常 连接 到 一 个 计算 机 系统 中 ， 获 取 到 的 信息 在 该 系统 中 
进行 记录 和 格式 化 处 理 ， 以 方便 以 后 使 用 。 


© 1 英寸 =0.0254 K, 1 英尺 =0.3048 米 。 一 一 编辑 注 


256 BLED RKABKAAKN: RPE 


射频 识别 (RFID) dle ema Wt Sete 
远程 系统 识别 和 跟踪 物品 。 标 签 由 连接 在 天 线 上 的 RFID 芯片 所 组 成 。”“ ; 


应 用 

RFID 的 应 用 范围 十 分 广泛 ， 并 在 不 断 进行 扩展 。4 类 主要 的 应 用 场景 包括 追踪 和 识别 、 
支付 和 储 值 系 统 、 访 问 控 制 以 及 防伪 。 

追踪 和 识别 是 RFID 最 为 广泛 的 应 用 。 早 期 的 RFID 主要 应 用 于 大 型 高 价值 物品 上 ， 如 
火车 车 厢 、 集 装 箱 等 。 随 着 价格 的 降低 和 技术 的 进步 ， 其 应 用 范围 扩展 非常 迅速 。 例 如 ， 大 
量 的 宠物 开始 植 和 人 RFID 设备 ， 从 而 丢失 的 动物 可 以 被 识别 并 送 回 到 其 主人 那里 。 另 外 一 个 
例子 是 : 在 供应 变化 情况 下 追踪 和 管理 数 十 亿 消 费 品 和 零 部 件 是 一 个 十 分 艰巨 的 任务 ,目前 
已 经 广泛 采用 RFID 标签 来 简化 这 一 工作 。 为 了 使 这 一 过 程 尽 可 能 低 代 价 和 可 互 操作 ， 电 子 
产品 码 (electronic product code, EPC) 等 标准 化 的 识别 机 制 已 经 被 开发 出 来 。 


电子 产品 码 (EPC) RFID 标签 的 一 种 标准 代码 。EPC 的 长 度 可 以 从 .64 位 到 256 位 ， 
至 少 包含 有 产品 编号 、 序 列 号 、 公 司 ID 以 及 EPC 版 本 。 众 多 机 构 参 与 了 EPC 标准 的 开 
发 ， 包 括 GSI 和 EPCglobal。 ne Sota Sep pcan NOE oi! 

另 一 个 主要 领域 是 支付 和 储 值 系统 。 高 速 公路 上 的 电子 通行 收费 系统 就 是 一 个 典型 的 例 
子 。 另 一 个 例子 是 在 零售 店 和 娱乐 场所 使 用 电子 钥匙 “fobs ”来 进行 支付 。 

访问 控制 是 另外 一 个 广泛 应 用 的 领域 。 许 多 公司 和 大 学 利用 RFID 感应 卡 控制 楼 宇 的 出 

人 人。 滑雪 场 和 其 他 休闲 胜地 也 是 这 一 技术 的 重要 用 户 。 

RFID 也 可 以 作为 防伪 的 有 效 工 具 。 赌 场 可 以 使 用 REID 标签 防止 使 用 伪造 的 筹码 ， 处 
方药 企业 可 以 使 用 RFID 标签 处 理 伪造 药品 市 场 ， 这 里 使 用 标签 确保 药品 在 供应 链 中 的 分 发 
状况 ， 并 防止 被 盗窃 。 

下 面 是 在 上 述 4 种 领域 中 应 用 RFID 的 一 个 不 完整 列表 。 

e 追踪 和 识别 : 

m 大 件 物资 ， 如 火车 车 厢 、 集 装 箱 等 
m 佩戴 了 耐用 标签 的 动物 

m 植 人 了 标签 的 宠物 

m EPC 供应 链 管理 

m EPC 库存 控制 

mw EPC 零售 结账 

m 垃圾 回收 与 处 理 

E 病人 监护 

m 在 校 儿童 身份 标识 

图 驾驶 员 证 件 和 通行 证 管理 
支付 和 储 值 系统 : 

m 电子 通行 收费 系统 

m 非 接 触 式 信用 卡 (如 美国 Express Blue F) 
m 储 值 系 统 (如 ExxonMobil Speedpass) 
m 地 铁 和 公交 车 乘 车 证 
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加 赌场 令 牌 和 音乐 会 门票 

e 访问 控制 : 

m 基于 感应 卡 的 楼 宇 访问 控制 
国 滑雪 场 免费 乘 车 通行 证 

E 音乐 会 门票 

图 汽车 点 火 系统 

e 防伪 : 

图 赌场 令 牌 (例如 拉 斯 维 加 斯 Wynn 赌场 ) 
加 高 面值 钞票 

m (Zim (如 Prada) 

mw 处 方药 

标签 

图 14-8 展示 了 RFID 系统 的 核心 组 成 ， 在 标 
签 和 读 写 器 之 间 采 用 无 线 通 信和 方式 进行 数据 交换 。 
根据 应 用 的 需求 ， 读 写 器 获取 被 打 标签 对 象 的 标识 
信息 和 其 他 需要 的 信息 。 读 写 器 随后 将 这 些 信息 发 
送 至 计算 机 系统 ， 该 系统 中 具有 RFID 相关 的 数据 
库 及 应 用 程序 。 

图 14-9 展示 了 标签 的 两 个 关键 组 件 。 天 线 是 
标签 中 的 一 个 金属 电路 ， 其 布局 取决 于 标签 的 大 小 
和 形状 ， 以 及 天 线 的 工作 频率 。 与 天 线 相连 接 的 是 微型 芯片 
一 个 简单 的 微型 芯片 ， 具 有 有 限 的 处 理 能 力 和 非 易 
失 存 储 。 

RFID 标签 可 以 划分 为 主动 式 、 半 被 动 式 和 被 
Bh (JLX 14-3 ) 。 主 动 式 RFID 标签 利用 电池 产 
生 自 己 的 信号 ， 而 被 动 式 RFID 从 标签 接收 到 的 
RF 信号 获取 能 量 。 半 被 动 式 标签 虽然 也 有 电池 ， Bee aes 
但 其 工作 模式 类 似 于 被 动 式 标 签 。 








集成 天 线 


表 14-3 ”标签 类 型 
主动 式 

电源 电池 电池 

要 求 读 写 器 到 标签 的 信 高 低 低 
号 强度 

通信 只 响应 响应 或 者 发 起 
Rm 0m [orom 

相对 费用 比较 昂贵 最 昂贵 

应 用 例子 AIM 


主动 式 标签 在 价格 上 要 明显 贵 于 被 动 式 标签 ， 且 在 物理 体积 上 也 比 被 动 式 标 签 大 。 主 动 
式 标 签 能 够 产生 更 加 强 的 信号 ， 因 此 具有 更 远 的 读 取 范 围 (read range) 和 更 高 的 速率 。 主 动 
JÈ RFID 是 IEEE 802.15.4f 标 准 所 关注 的 焦点 。 


w 
oO 


w 
© 


258 BRED MKABKAAH: PŽ 


读 取 范 围 RFID 标签 和 读 写 器 之 间 能 够 保持 可 靠 通信 的 最 大 距离 。 


在 自动 ID 和 电子 钥匙 应 用 中 ,被动式 标签 也 十 分 常见 ， 它 们 能 够 被 制造 成 如 标签 条 那样 
注 ， 且 价格 十 分 低廉 。 被 动 式 标签 本 质 上 是 由 读 写 器 为 其 供电 ， 随 后 将 数据 返回 给 读 写 器 。 
读 写 器 
RFID 读 写 器 通过 RF 信道 与 标签 进行 通信 ， 可 以 获得 简单 的 标识 信息 ， 或 者 获取 更 加 
复杂 的 参数 集合 。 会 话 过 程 通常 是 简单 的 请 求 应 答 模 式 ， 但 也 可 能 包括 更 加 复杂 的 多 种 信息 
交换 。 
根据 功能 和 基本 操作 方式 的 不 同 ， 读 写 器 包括 多 种 不 同 的 类 型 。 一 般 而 言 ， 有 以 下 三 大 
类 读 写 器 。 
e 固定 式 : 当 标 签 经 过 其 周围 时 ， 固 定式 读 写 器 会 创建 相应 的 接口 来 自动 读 取 标签 的 
信息 。 常 见 的 应 用 包括 当 某 些 对 象 进 入 房间 、 穿 过 仓库 门 ， 或 者 沿 着 传送 带 运 动 时 
读 取 其 标签 信息 。 
e BAX: 移动 式 读 写 器 是 具有 RFID 天 线 和 一 定 计 算 能 力 的 手持 式 设备 ， 它 们 主要 用 
于 在 移动 中 人 工读 取 标 签 信息 ， 对 于 一 些 核查 类 的 应 用 非常 有 用 。 
e 桌面 式 : 这 类 读 写 器 通常 连接 在 一 台 PC 或 者 其 他 终端 上 ， 并 为 其 提供 简单 的 输入 。 
运行 频率 
物理 标签 的 最 大 读 取 距离 由 不 同 的 RFID 读 写 器 和 天 线 功率 、REFID 标签 中 使 用 的 芯 
标签 使 用 的 材料 及 其 厚度 、 天 线 的 类 型 、 标 签 所 附着 的 材料 等 共同 决定 。 标 签 和 读 写 器 使 用 
的 频率 范围 对 于 读 取 距离 的 影响 比较 有 限 。 表 14-4 列举 了 一 些 标准 频率 及 其 对 应 的 被 动 读 
取 范 围 ， 增 加 频率 能 够 提高 读 取 范 围 以 及 数据 传输 能 力 。 主 动 式 标签 同样 也 可 以 应 用 这 些 频 
率 ， 此 外 ， 主 动 式 标签 也 可 以 使 用 433 MHz 和 2.4 GHz 频段 达到 数 百 米 的 读 取 距离 。 
R 14-4 BA RFID 运行 频率 
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at F: 
ani UWB) 10k 


功能 
正如 其 名 字 所 示 ，RFID 最 基本 的 功能 就 是 识别 那些 加 了 标签 的 对 象 。 标 签 也 可 以 提供 
许多 与 RFID 技术 和 系统 相 兼 容 的 其 他 功能 。 表 14-5 列举 了 由 标准 化 组 织 EPCglobal 所 定义 
的 6 种 常见 类 别 。 
表 14-5 标签 功能 类 
ESTI 描述 
0 | UHF 只 读 、 预 先 编程 的 被 动 式 标签 
1 UHF 或 者 HF; 一 次 写 、 多 次 读 (WORM) 
2 | ”被动式 读 写 标签 ， 可 以 在 供应 链 中 的 任何 点 进行 写 人 操作 
3 | 支持 读 写 操作 ， 板 上 的 传感器 可 以 在 其 上 记录 诸如 温度 、 压 力 和 运动 等 信息 ; 可 以 是 半 被 动 式 或 者 主动 式 
4 | ”支持 读 写 操作 、 具 有 集成 发 射 机 的 主动 式 标签 ; 能 够 与 其 他 标签 和 读 写 器 进行 通信 
与 类 型 4 的 标签 相 类 似 , 但 具有 一 些 额 外 的 功能 ; 能 够 为 其 他 标签 提供 电源 ， 能 够 与 读 写 器 之 外 的 设备 进 
行 通信 
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类 型 0 标签 提供 最 基本 的 识别 功能 ， 如 产品 码 或 者 唯一 的 标识 符 等 ， 在 生产 标签 时 已 经 
固定 写 人 这 些 标识 符 。 这 类 标签 功能 比较 简单 ， 且 价格 低廉 。 类 型 1 标签 与 类 型 0 相 类 似 ， 
但 提供 了 不 预先 固定 标识 信息 ， 而 由 端 用 户 在 使 用 过 程 中 设置 标识 信息 的 功能 。 类 型 2 标签 
可 以 作为 一 个 记录 设备 使 用 ， 被 标签 的 对 象 利用 它 登 录 到 某 系统 中 ， 随 后 该 标签 即 可 按 需 提 
供 身份 信息 。 类 型 3 标签 提供 了 两 个 额外 的 功能 : 读 写 存 储 器 和 板 上 传感器 。 传 感 器 标签 可 
以 在 不 需要 读 写 器 的 帮助 下 记录 并 存储 环境 数据 ， 许 多 传感器 标签 可 以 形成 一 个 “传感器 网 
络 ” 来 监测 某 个 物理 区 域 的 环境 状况 ， 包 括 温度 变化 、 方 向 变化 、 振 动 、 生 物 或 者 化 学 试剂 
情况 、 光 、 声 音 等 。 由 于 它们 在 没有 读 写 器 存在 的 情况 下 运行 ， 传 感 器 标签 必须 是 半 被 动 式 
或 者 主动 式 的 。 

类 型 4 标签 有 时 也 被 称 为 尘埃 或 者 智能 尘埃 ， 能 够 与 对 等 实体 之 间 发 起 通信 和 形成 自 组 
网 络 ， 这 会 为 那些 小 的 、 具 有 有 限 通信 范围 的 廉价 设备 带 来 大 量 的 应 用 场景 。 这 些 尘 埃 可 以 
植 人 或 者 播 撤 在 一 个 区 域内 收集 数据 ， 并 将 这 些 数据 从 一 个 结 点 传递 至 另 一 个 结 点 ， 最 终 交 
付 给 中 心 采集 结 点 。 例 如 ,农场 主 、 葡 萄 园 主 ， 或 者 生态 学 家 可 以 在 尘埃 上 增加 检测 温度 、 
湿度 等 参数 的 传感器 ， 使 得 每 个 尘埃 成 为 一 个 微型 气象 站 。 将 这 些 智 能 尘埃 播 撤 到 整个 田 
地 、 葡 萄 园 或 者 森林 ， 即 可 利用 它们 监测 局 部 小 气候 。 这 远 远 超过 了 基本 RFID 的 功能 , 但 
EPCglobal 将 其 作为 一 个 功能 性 的 扩展 。 类 型 5 扩展 了 类 型 4， 增 加 了 通过 一 个 设备 为 其 他 
标签 供电 以 及 在 设备 之 间 进 行 通 信 等 功能 ， 从 而 在 实现 上 增加 了 更 多 的 可 能 性 。 


14.4 重要 术语 
学 完 本 章 后 ， 你 应 当 能 够 定义 下 列 术语 。 
准确 度 微 处 理 器 
执行 器 操作 技术 (OT) 
应 用 处 理 器 精度 
专用 处 理 器 射频 识别 (RFID ) 
RAE ARAB RFID 读 写 器 
电子 产品 码 (EPC ) 读 取 距离 
KARRA 解析 度 
Site 传感器 
信息 技术 (IT) RFID 标签 
物 联网 (IoT) 收发 器 
微 控制 器 
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物 联网 : 体系 结构 与 实现 





每 当 我 们 开始 使 用 逻辑 思维 过 程 时 一 一 也 就 是 说 ， 每 当 思 想 在 一 段 时 间 内 沿 着 
可 行 的 轨迹 运行 时 一 一 机 器 就 有 机 会 。 
一 一 《 诚 若 所 思 》， 范 内 瓦 。 布什 ,《 大 西洋 月 刊 》 1945 年 7 月 
本 章 目标 
学 完 本 章 后 ， 你 应 当 能 够 : 
o 对 比 ITU-T 和 物 联网 世界 论坛 关于 物 联 网 参考 模型 的 差异 。 
© 描述 物 联网 的 开源 实现 IoTivity。 
o 描述 物 联 网 的 商业 实现 ioBridge。 
本 章 将 结束 关于 物 联网 技术 的 讨论 ， 其 中 首先 描述 两 个 重要 的 物 联网 参考 模型 ， 这 两 个 
参考 模型 有 助 于 我 们 深入 了 解 物 联网 的 体系 结构 和 功能 ， 随 后 分 析 三 个 物 联 网 的 实现 机 制 ， 
包括 一 个 开源 实现 和 两 个 商业 实现 。 


15.1 loT 体系 结构 


鉴于 物 联 网 的 复杂 性 ， 很 有 必要 通过 一 个 体系 结构 指定 其 主要 元 素 及 相互 间 的 交互 关 
系 。 物 联网 体系 结构 可 以 提供 如 下 好 处 : 
e 为 IT 或 者 网 络 管理 员 提供 一 个 有 用 的 列表 ， 通 过 该 列表 可 以 评估 三 商 所 提供 内 容 的 
功能 和 完整 性 。 
e 为 开发 者 提供 指导 ， 指 明 哪些 功能 在 物 联 网 中 是 必需 的 ， 以 及 这 些 功 能 如 何 通过 整 
体 方式 进行 工作 。 
e 可 以 作为 一 个 标准 化 的 框架 ， 为 提高 互 操作 性 和 降低 实现 成 本 提供 支持 。 
在 本 节 中 ,我 们 首先 概述 ITU-T 所 提出 的 物 联 网 体系 结构 ， 随 后 分 析 物 联网 世界 论坛 
提出 的 体系 结构 。 后 者 是 由 一 个 工业 论坛 所 提出 ， 能 够 通过 一 个 不 一 样 的 框架 帮助 我 们 理解 
物 联 网 的 范围 和 功能 。 


15.1.1 ITU-T lol 参考 模型 


ITU-T 物 联 网 参考 模型 定义 于 Y.2060,《 物 联网 概述 》，2012 年 6 月 。 与 本 领域 其 他 大 
多 数 物 联网 参考 模型 和 体系 结构 模型 不 同 ，ITU-T 模型 对 物 联 网 生态 系统 的 实际 物理 组 件 进 
行 了 详细 描述 。 这 一 处 理 模型 非常 有 效 ， 因 为 它 使 得 物 联 网 生态 系统 中 必须 互联 、 集 成 、 管 
理 以 及 为 用 户 可 用 的 组 件 变 得 可 见 。 这 一 物 联网 生态 系统 的 详细 规范 推动 了 对 物 联网 能 力 的 

该 模型 所 提出 的 一 个 重要 见解 就 是 ， 物 联网 本 质 上 并 不 是 物理 物体 的 网 络 ， 而 是 与 物理 
物体 相交 互 的 设备 所 组 成 的 网 络 ， 在 此 基础 上 再 加 上 与 这 些 设备 相交 互 的 应 用 平台 ， 如 计 
算 机 、 平 板 电 脑 和 智能 手机 等 。 因 此 ， 在 概述 ITU-T 模型 的 过 程 中 ,我 们 首先 对 设备 进行 


讨论 。 


BIS¢ HRA: KAAWHSFR 261 


K 15-1 列举 了 Y.2060 所 使 用 的 重要 术语 的 定义 。 


设备 
数据 携带 设备 
数据 捕获 设备 


数据 携带 器 
感知 设备 
执行 设备 
通用 设备 
网 关 


设备 


表 15-1 Y.2060 物 联网 术语 
定义 

连接 设备 和 应 用 的 基础 设施 网 络 ， 如 基于 IP 的 网 络 或 者 互联 网 等 

物理 世界 的 一 个 对 象 (物理 物体 )， 或 者 信息 世界 的 一 个 对 象 (虚拟 物 )， 能 够 被 识别 和 集成 到 
通信 网 络 中 

一 件 必须 具有 通信 能 力 的 设备 ， 可 能 还 具有 感知 、 执 行 、 数 据 捕获 、 数 据 存储 和 数据 处 理 等 
能 力 

固定 在 一 个 物理 物体 上 的 设备 ， 间 接地 将 物理 物体 与 通信 网 络 互联 ， 典 型 例子 包括 类 型 3、4、 
5 的 射频 识别 标签 

具有 与 物理 物体 相交 互 功 能 的 读 / 写 设备 。 这 里 交互 可 以 通过 数据 携带 设备 问 接 发 生 ， 也 可 
以 通过 固定 在 物理 物体 上 的 数据 携带 器 直接 发 生 


固定 在 物理 物体 上 的 无 电池 数据 携带 对 象 ， 能 够 为 合适 的 数据 捕获 设备 提供 信息 ， 包 括 固定 
在 物理 物体 上 的 条 形 码 和 二 维 码 等 

检测 和 测量 与 周围 环境 相关 的 信息 ， 并 将 其 转化 为 数字 电信 号 

将 来 自信 息 网 络 的 数字 电信 号 转化 为 动作 

通用 设备 具有 工人 式 处 理 和 通信 能 力 ， 并 通过 有 线 或 者 无 线 技术 与 通信 网 络 进行 通信 。 通 用 
设备 包括 应 用 于 不 同 IoT 应 用 领域 的 设备 ， 如 工业 机 器 、 家 用 电器 和 智能 手机 等 

IoT 中 将 设备 与 通信 网 络 进行 互联 的 单元 。 网 关 对 通信 网 络 中 所 使 用 的 协议 和 设备 所 使 用 的 协 
议 进 行 必要 的 转换 


与 其 他 网 络 系统 相 比 ，IoT 的 一 个 独特 方面 在 于 存在 大 量 并 非 用 于 计算 与 数据 处 理 的 物 
理 物 体 和 设备 。 图 15-1 来 源 于 Y.2060, JER T ITU-T 模型 中 设备 的 类 型 ， 该 模型 将 IoT 视 
为 与 物 紧 密 耦 合 的 设备 所 组 成 的 网 络 。 传 感 器 和 执行 器 与 环境 中 的 物理 事物 相交 互 ， 数 据 捕 
获 设备 通过 与 数据 携带 设备 或 者 以 某 种 方式 附着 在 物理 对 象 上 的 数据 携带 器 相交 互 ， 实 现 从 
物理 事物 中 读 取 数据 或 者 向 物理 事物 写 人 数据 。 


通信 网 络 





图 15-1 设备 类 型 以 及 与 物理 事物 间 的 关系 


该 模型 对 数据 携带 设备 和 数据 携带 器 进行 了 区 分 ， 其 中 数据 携带 设备 是 Y.2060 中 定义 


个 
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的 设备 类 型 ， 该 设备 至 少 需要 支持 通信 和 能力， 并 可 能 具有 其 他 电子 能 力 。 典 型 的 数据 携带 设 
备 即 RFID 标签 。 另 一 方面 ， 数 据 携带 器 是 附着 在 一 个 物理 事物 上 面 的 元 素 ， 用 于 在 提供 某 
些 信息 过 程 中 进行 身份 标识 。 

Y.2060 指出 ， 在 数据 捕获 设备 和 数据 携带 设备 /数据 携带 器 之 间 交 互 用 到 的 技术 包括 无 
线 、 红 外 、 光 和 电流 驱动 技术 等 ， 每 种 技术 的 典型 例子 如 下 所 示 。 

e HH: RFID 标签 。 
红外 : 红外 徽章 广泛 应 用 于 军事 、 医 院 ， 以 及 其 他 需要 追踪 个 体位 置 和 移动 情况 的 场 
所 。 例 如 军事 上 使 用 的 红外 反射 片 ， 以 及 能 够 发 射 标识 信息 的 采用 电池 供电 的 徽章 。 
后 者 具有 一 个 按钮 ， 在 通过 门禁 系统 时 必须 按 下 该 按钮 ， 从 而 可 以 将 徽章 作为 门禁 
系统 判断 是 否 放行 的 手段 。 若 徽章 自动 重复 该 信号 ， 则 可 以 作为 追踪 个 体 的 一 种 方 
法 。 家 庭 和 其 他 环境 中 用 于 控制 电子 设备 的 远程 控制 设备 同样 可 以 很 容易 地 集成 到 
IoT 中 。 
光 : 条 形 码 和 二 维 码 是 通过 光 的 方式 识别 数据 携带 器 的 典型 例子 。 
电流 驱动 : 一 个 典型 例子 就 是 使 用 身体 的 传导 特性 的 植 人 式 医疗 设备 [FERG11]。 在 
植 和 设备 到 身体 表面 的 通信 过 程 中 ， 通 过 电流 耦合 技术 将 信号 从 植 人 设备 发 送 至 皮 
肤 表面 的 电子 记录 设备 。 这 一 机 制 使 用 的 能 量 非常 小 ， 从 而 降低 了 植 人 设备 的 大 小 
和 复杂 性 。 

图 15-1 中 展示 的 最 后 一 种 设备 是 通用 设备 。 通 用 设备 是 那些 具有 处 理 和 通信 能 力 并 可 
以 集成 到 IoT 中 的 设备 。 典 型 例子 如 智能 家 庭 技 术 可 以 将 家 庭 中 的 每 台 设备 虚拟 化 地 集成 到 
一 个 网 络 中 ， 从 而 可 以 进行 集中 式 或 者 远程 控制 。 

图 15-2 提供 了 对 IoT 中 各 
种 元 素 的 概述 。 多 种 物理 设备 
的 互联 方式 如 图 左 侧 所 示 ， 这 
里 假设 存在 一 个 或 多 个 支持 在 
设备 间 进 行 通信 的 网 络 。 

图 15-2 引 入 了 另外 一 种 
IoT 相关 的 设备 网关。 简单 






来 讲 ， 网 关 的 作用 类 似 于 一 个 RD rt ages 

协议 转换 器 。 网 关 解 决 了 设计 ! 所 a > 通过 网 关 通 信 
IoT 过 程 中 的 一 个 最 大 挑战 : l +h ARARE 
连通 性 问题 ， 包 括 设备 间 的 连 <c> 直接 通信 
通 性 以 及 设备 与 因特网 或 者 企 图 15-2 IoT 技术 概述 (Y.2060 ) 


业 网 的 连通 性 。 智 能 设备 支持 的 无 线 或 者 有 线 传输 技术 及 网 络 协议 类 型 多 种 多 样 ， 且 这 些 设 
备 通 常 具有 有 限 的 处 理 能 力 。Y.2067《 物 联网 应 用 中 网 关 的 通用 要 求 和 能 力 》( 2014 年 6 月 ) 
指出 了 对 IoT 网 关 的 要 求 ， 可 以 划分 为 如 下 3 类 : 
e 网 关 需 要 支持 大 量 的 设备 接 人 技术 ， 能 够 支持 设备 间 的 相互 通信 以 及 通过 因特网 或 
者 企业 网 与 IoT 应 用 进行 通信 。 这 些 接 人 机 制 包括 ZigBee、 蓝 牙 以 及 Wi-Fi 等 。 
e 网 关 需 要 支持 局 域 网 和 广域网 的 联网 技术 ， 包 括 局 域 网 络 中 的 以 太 网 和 Wi-Fi 技术 ， 
以 及 因特网 和 广 域 企业 网 接 人 中 的 蜂窝 、 数 字 用 户 线 (DSL) 和 电缆 接 入 等 。 
e 网 关 需 要 支持 与 应 用 、 网 络 管理 和 安全 功能 的 交互 。 
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前 两 个 需求 主要 实现 在 不 同 网 络 技术 和 协议 族 之 间 的 协议 转换 ， 第 三 个 需求 通常 被 称 为 
loT 代理 功能 。 本 质 上 ，IoT 代理 代表 IoT 设备 提供 了 更 高 层面 上 的 功能 ， 如 组 织 /汇总 多 
个 设备 交付 给 IoT 应 用 的 数据 ， 实 现 安全 协议 和 功能 ， 以 及 与 网 络 管理 系统 相交 互 等 。 

需要 指出 的 是 ,术语 “通信 网 络 ”并 非 直接 在 立 206x 系列 的 IoT 标准 中 所 定义 ， 通 信 
网 络 支持 设备 间 的 通信 ， 也 可 以 直接 支持 应 用 平台 。 这 可 能 是 小 IoT 的 一 个 扩展 ， 如 智能 设 
备 组 成 的 家 用 网 络 。 更 一 般 的 情况 是 ， 设 备 网 络 连接 到 企业 网 或 者 因特网 中 ， 以 便 与 IoT 相 
关 的 、 承 载 各 种 应 用 的 系统 或 者 承载 各 种 数据 库 的 服务 器 相通 信 。 

我 们 现在 可 以 回 到 图 15-2 的 左 半 部 分 ， 该 部 分 展示 了 设备 间 通 信 的 可 能 性 。 第 一 种 可 
能 性 即 设备 通过 网 关 进 行 通信 ， 例 如 利用 网 关 ， 一 个 具有 蓝牙 功能 的 传感器 或 者 执行 器 可 以 
与 使 用 Wi-Fi 技术 的 数据 捕获 设备 或 者 通用 设备 进行 通信 。 第 二 种 可 能 性 即 无 需 网 关 在 通信 
网 络 之 内 的 通信 ， 例 如 ， 在 智能 家 庭 网 络 中 的 所 有 设备 可 以 使 用 蓝牙 ， 并 通过 一 个 具有 蓝牙 
功能 的 计算 机 、 平 板 电脑 或 者 智能 手机 进行 管理 。 第 三 种 可 能 性 即 设备 相互 间 在 一 个 独立 的 
局 域 网 络 内 直接 进行 通信 ， 然 后 再 通过 局 域 网 网 关 与 通信 网 络 进行 通信 (这 一 步 未 在 图 中 显 
示 )。 采 用 第 三 种 通信 可 能 性 的 例子 如 下 : 大 量 的 低 电 量 传感器 设备 可 以 部 署 在 诸如 农场 或 
者 工厂 等 很 大 的 区 域 中 ， 它 们 相互 间 可 以 进行 通信 ， 以 便 将 数据 传递 给 连接 到 通信 网 络 网 关 
的 设备 。 i 

图 15-2 的 右边 部 分 强调 了 每 一 个 物理 事物 在 IoT 中 可 能 通过 一 个 或 多 个 虚拟 物 来 表示 ， 
但 一 个 虚拟 物 也 可 能 不 存在 对 应 的 物理 事物 。 物 理事 物 映射 到 存储 在 数据 库 或 其 他 数据 结构 
中 的 虚拟 物 ， 而 上 层 应 用 处 理 的 是 虚拟 物 。 

参考 模型 

图 15-3 描述 了 ITU-T IoT 参考 模型 ， 其 中 包括 4 个 层次 ， 以 及 应 用 到 各 层 的 管理 功能 
和 安全 功能 。 到 目前 为 止 我 们 只 考虑 了 设备 层 。 就 通信 功能 而 言 ， 设 备 层 主 要 包括 OSI 的 
物理 层 和 数据 链 路 层 。 下 面 我 们 分 析 其 他 层次 。 


Fa EE a i = <p) Me 


FAF ad 





层 
传输 功能 





图 15-3 ITU-T Y.2060 IoT 参考 模型 


网 络 层 实 现 两 个 基本 功能 。 联 网 功能 指 设备 与 网 关 的 互联 ， 而 传输 功能 指 IoT 服务 和 应 
用 相关 的 信息 以 及 IoT 相关 控制 和 管理 信息 的 传输 。 粗 略 而 言 ， 这 些 对 应 于 OSI 的 网 络 层 和 
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服务 支持 和 应 用 支持 层 提供 了 应 用 需要 的 功能 。 通 用 的 应 用 支持 功能 可 以 供 许多 应 用 使 


400| 用 ， 如 通用 数据 处 理 和 数据 库 管理 功能 。 专 用 的 支持 功能 指 那些 为 IoT 应 用 特定 子 集 的 需求 


提供 支持 的 功能 。 
应 用 层 包 括 所 有 与 IoT 设备 相交 互 的 应 用 。 
管理 功能 层 涵盖 传统 的 网 络 管理 功能 ， 包 括 故障 管理 、 配 置 管 理 、 计 费 管理 和 性 能 管 
理 。Y.2060 列举 了 如 下 通用 支持 功能 的 例子 。 
e 设备 管理 : 包括 设备 发 现 、 鉴 别 、 远 程 设 备 激活 和 关闭 、 配 置 、 诊 断 、 固 件 / 软件 
级 、 设 备 工作 状态 管理 等 。 
e 本 地 网 络 拓 扑 管 理 ; 如 网 络 配置 管理 。 
。 流量 和 拥塞 管理 : 如 针对 时 间 紧 急 / 生命 周期 紧急 的 数据 流 ， 进 行 网 络 过 载 条 件 的 检 
测 以 及 资源 预 留 的 实现 等 。 
特定 的 管理 功能 需要 按照 特定 类 型 的 应 用 设计 ， 一 个 典型 例子 就 是 智能 电网 传输 线 
lay 监测 。 
安全 功能 层 包 括 与 具体 应 用 相 独 立 的 通用 安全 功能 ，Y.2060 列举 了 如 下 通用 安全 功能 的 
例子 。 
e 应 用 层 : 授权 、 鉴 别 、 应 用 数据 机 密 性 和 完整 性 保护 、 隐 私 保护 、 安 全 审计 以 及 防 
病毒 。 
e MAR: 授权 、 鉴 别 、 用 户 数 据 和 信 令 数据 机 密 性 以 及 信 令 完整 性 保护 。 
e 设备 层 : 鉴别 、 授 权 、 设 备 完整 性 验证 、 访 问 控制 、 数 据 机 密 性 和 完整 性 保护 。 
特定 安全 功能 与 特定 应 用 的 需求 相关 ， 如 移动 支付 安全 需求 等 。 


15.1.2 lol 全 球 论坛 参考 模型 


ToT 全 球 论坛 (IWF) 是 一 个 由 工业 界 发 起 的 年 度 事件 ， 聚集 了 商业 、 政 府 和 学 术 界 的 
代表 ， 共 同 促进 IoT 的 市 场 化 。IoT 全 球 论坛 体系 结构 委员 会 由 IBM、Intel 和 Cisco 等 工业 
界 的 领导 者 组 成 ， 在 2014 年 10 月 发 布 了 一 个 IoT 参考 模型 。 该 参考 模型 作为 一 个 通用 框架 
来 帮助 工业 界 加 速 IoT 的 部 署 ， 并 促进 协作 、 鼓 励 开 发 可 复制 的 部 署 模型 。 

这 一 参考 模型 是 对 ITU-T 参考 模型 的 一 个 有 益 补 充 ，ITU-T 文档 主要 关注 设备 和 网 关 
层面 ， 对 上 层 只 是 进行 了 宏观 的 描述 。 事 实 上 ，Y2060 在 描述 应 用 层 时 仅 使 用 了 一 句 话 。 
ITU-T Y.2060 系列 似乎 更 关注 于 定义 一 个 框架 来 支持 与 IoT 设备 相交 互 的 标准 的 开发 。IWF 
关注 于 更 加 广泛 的 问题 ， 包 括 应 用 、 中 间 件 以 及 企业 IoT 的 支持 功能 等 的 开发 。 

图 15-4 描述 了 七 层 模型 ， 由 Cisco 发 起 的 IWF 模型 的 白皮书 [CISC14b] 指出 模型 具有 
如 下 特征 。 

© 简化 : 帮助 划分 复杂 系统 ， 以 便 使 得 每 一 部 分 更 加 容易 理解 。 

e Bin: 提供 额外 的 信息 以 便 准 确 地 辨别 IoT 的 层 ， 并 建立 通用 术语 。 

o 识别 : 识别 在 系统 的 不 同 部 分 中 ， 哪 些 特定 类 型 的 处 理 被 优化 了 。 

o 标准 化 : 在 支持 厂商 创建 能 够 协同 工作 的 IoT 产品 方面 迈 开 了 第 一 步 。 

e AA: 使 得 IoT 真实 可 用 ， 而 非 一 个 简单 的 概念 。 

物理 设备 和 控制 器 层 

第 1 层 包 括 物 理 设 备 和 能 够 控制 多 台 设 备 的 控制 器 。IWF 模型 的 第 1 层 大 体 对 应 于 
ITU-T 模型 的 设备 层 ( 见 图 15-3 )。 与 ITU-T 模型 类 似 ， 这 一 层 中 的 元 素 并 非 物理 事物 ， 而 
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是 与 物理 事物 相交 互 的 设备 ， 包 括 传感器 和 执行 器 等 。 这 些 设备 的 功能 包括 模 数 转换 和 数 模 
转换 、 数 据 生 成 、 远 程 查询 控制 功能 等 。 


基于 
IT 查询 a =, iM 
OT at ey 边缘 ( 雾 ) 计算 

事件 (数据 元 素 分 析 与 转换 ) 


连通 性 
(通信 与 处 理 单元 ) 
0 一 -物理 设备 与 控制 器 
( 传感器 ， 设备， 机 器 ， 所 
有 类 型 的 智能 边缘 结 点 ) 





边缘 
图 15-4 IoT 全 球 论坛 参考 模型 


连通 性 层 

从 逻辑 视图 上 来 看 ， 本 层 支 持 设备 间 的 通信 以 及 设备 与 第 3 层 中 底层 处 理 之 间 的 通信 。 
从 物理 视图 上 看 ， 本 层 包 括 路 由 器 、 交 换 机 、 网 关 、 防 火 墙 等 用 于 构建 本 地 和 广域网 络 并 提 
供 因 特 网 连通 性 的 网 络 设备 。 本 层 支 持 设备 相互 间 进 行 通信 ， 通 过 上 面 的 逻辑 层次 与 计算 
机 、 远 层 控制 设备 和 智能 手机 等 应 用 平台 通信 。 

IWF 模型 的 第 2 层 大 体 上 对 应 于 ITU-T 模型 的 网 络 层 ， 但 两 者 的 主要 区 别 在 于 ITWF 模 
型 在 第 2 层 中 包括 网 关 ， 而 ITU-T 模型 将 网 关 放 在 第 1 层 。 由 于 网 关 是 一 个 网 络 和 连通 性 
设备 ， 将 其 放 在 第 2 层 似乎 更 加 合适 。 

边缘 计算 层 

在 许多 IoT 部 署 中 ， 传 感 器 的 分 布 式 网 络 可 能 会 产生 大 量 的 数据 。 例 如 ， 海 上 石油 平台 
和 炼油 厂 每 天 可 以 产生 以 TB 字 节 计 的 数据 ， 而 飞机 每 小 时 可 能 产生 数 十 TB 字 节 的 数据 。 
对 于 这 样 的 大 数据 ， 通 常 需要 在 接近 传感器 的 位 置 进行 尽 可 能 多 的 数据 处 理 ， 而 非 将 所 有 数 
EKA (或 者 长 期 ) 存储 在 一 个 所 有 IoT 应 用 都 能 够 访问 的 中 心 存储 设备 中 。 因 此 ,边缘 计 
算 层 的 目的 就 是 将 网 络 数据 流转 换 为 适合 存储 和 上 层 处 理 的 信息 。 这 一 层 的 处 理 单 元 可 能 要 
处 理 海量 的 数据 并 进行 数据 转换 操作 ， 从 而 大 大 降低 存储 数据 的 规模 。Cisco 关于 IWF 模型 
的 白皮书 [CISC14b] 列举 了 如 下 边缘 计算 操作 的 例子 。 

© 评价 : 按照 一 定 的 标准 评价 数据 是 否 需要 在 高 层 进行 处 理 。 

o 格式 化 : 为 进行 一 致 性 高 层 处 理 而 重新 格式 化 数据 。 

e 扩展 /解码 : 通过 额外 的 环境 信息 (如 数据 来 源 等 ) 处 理 那 些 复杂 的 数据 。 

e 摘要 /压缩 : 压缩 /总 结 数据 以 便 最 小 化 数据 和 流量 对 物理 和 高 层 处 理 系统 的 影响 。 
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e 评估 : 判断 数据 是 否 达到 某 个 阔 值 或 者 告警 标准 ， 可 能 包括 将 数据 重 定向 到 额外 目 
的 地 的 操作 。 l 

本 层 的 处 理 单元 对 应 于 ITU-T 模型 
中 的 通用 设备 ( 见 图 15-1 和 表 15-1 ) 。 
一 般 来 说 ， 它 们 物理 上 被 部 署 在 靠近 
IoT 网 络 边缘 的 位 置 ， 亦 即 靠近 传 感 
器 和 其 他 数据 产生 设备 的 位 置 。 因 此 ， 
对 所 产生 的 海量 数据 进行 基本 处 理 的 
一 些 功能 被 放置 在 网 络 边缘 ， 远 离 位 
于 中 心 的 IoT 应 用 软件 。 

在 边缘 计算 层 进行 处 理 有 时 也 称 
为 雾 计算 。 雾 计算 和 和 雾 服 务 是 IoT 的 
一 个 典型 特征 ， 图 15-5 展示 了 该 概 
念 ， 雾 计算 表示 在 现代 网 络 中 一 个 与 
云 计算 相反 的 发 展 趋势 。 在 云 计算 中 ， 
通过 相对 少数 用 户 能 够 使 用 的 云 联网 
功能 ， 将 大 量 、 中 心 化 的 存储 和 处 理 
资源 提供 给 分 布 式 客户 。 而 在 雾 计算 
中 ,大量 独 立 的 智能 对 象 通过 雾 联网 
功能 互联 ， 并 为 IoT 中 靠近 边缘 的 设 图 15-5 FHA 
备 提供 处 理 和 存储 资源 。 雾 计算 需要 解决 由 于 成 千 上 万 台 智 能 设备 所 带 来 的 挑战 ， 包 括 安 
全 、 隐 私 、 网 络 容量 限制 和 时 延 需求 等 。 术 语 雾 计算 来 自 于 雾 通常 盘旋 在 接近 地 面 的 位 置 ， 
而 云 通常 位 于 天 空中 。 

O EHE 在 该 场景 中 ， 大 量 异 构 、 分 布 式 的 设备 相互 间 进 行 通信 ， 并 与 网 络 进 行 通 


信 ， 从 而 在 不 需要 第 三 方 干预 的 情况 下 完成 存储 和 处 理 任务 。 o 


表 15-2 来 自 于 Vaquero 和 Rodero-Merino [VAQU14] 的 一 篇 论文 ， 其 中 将 云 计算 和 雾 计 
算 进 行 了 对 比 。 





表 15-2 AMEE 


UN “i 要 
处 理 /存储 资源 位 轩 边缘 
时 延 Baers 
访问 主要 无 线 
移动 支持 支持 
控制 分 布 式 /层次 化 (部 分 控制 ) 
服务 访问 在 边缘 / 手持 式 设备 
可 用 性 高 易 失 性 /高 宛 余 
用 户 /设备 数量 数 百 亿 
主要 的 内 容 生成 者 设备 / 传感器 
内 容 生成 任何 地 广 
内 容 消费 任何 地 方 
软件 虚拟 化 基础 设施 用 户 设备 
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数据 聚集 层 

本 层 负责 将 来 自 于 大 量 设备 并 由 边缘 计算 层 所 过 滤 和 处 理 的 数据 放置 在 存储 设备 中 ， 以 
便 随后 供 高 层 使 用 。 本 层 在 设计 问题 、 需 求 和 处 理 方法 等 方面 展现 了 底层 ( 雾 ) 计算 和 高 层 
( 云 ) 计算 的 典型 区 别 。 

在 网 络 中 流动 的 数据 称 为 运动 数据 运动 数据 的 速率 和 组 织 由 产生 该 数据 的 设备 所 决 
定 。 数 据 产生 是 事件 驱动 的 : 周期 性 或 者 由 环境 中 的 一 个 事件 所 产生 。 为 了 捕获 数据 并 按照 
一 定 的 方式 进行 处 理 ， 需 要 实时 做 出 响应 。 另 一 方面 ， 大 多 数 应 用 不 需要 按照 网 络 传输 速率 
处 理 数据 。 一 个 现实 问题 是 ， 云 网 络 和 应 用 平台 都 无 法 实时 处理 大 量 IoT 设备 所 产生 的 数据 
量 。 相 反 ， 应 用 处 理 的 是 静止 数据 ， 亦 即 处 于 可 访问 存储 空间 中 的 数据 。 应 用 可 以 通过 非 实 
时 的 方式 按 需 访问 这 些 数据 。 因 此 ， 上 层 以 查询 或 者 事务 为 基础 进行 操作 ， 而 下 面 三 层 以 事 
件 为 基础 进行 操作 。 

Cisco 关于 IWF 模型 的 白皮书 [CISC14b] 列举 了 数据 聚集 层 的 如 下 操作 : 

1 ) 将 运动 数据 转化 为 静止 数据 

2 ) 将 数据 格式 从 网 络 分 组 转化 为 数据 库 关系 表 

3 ) 实现 从 基于 事件 到 基于 查询 计算 的 转换 

4 ) 通过 过 滤 和 选择 性 存储 显著 地 降低 数据 量 

另 一 种 关于 数据 聚集 层 的 视图 就 是 : 该 层 标识 了 IT 和 OT 的 边界 。 


信息 技术 (IT) 信息 处 理 中 所 有 技术 的 通用 术语 ， 包 括 软 件 、 硬 件 、 通 信 技 术 和 相 
关 的 服务 。 一 般 而 言 ，IT 不 包括 那些 不 能 为 企业 级 应 用 产生 数据 的 赂 入 式 技术 。 


操作 技术 (OT) 硬件 和 软件 ， 能 够 通过 对 企业 中 的 物理 设备 、 进 程 和 事件 进行 直接 
监测 / 控制 来 检测 或 者 触发 一 个 调整 。 


数据 抽象 层 

数据 聚集 层 汇聚 了 大 量 的 数据 并 将 其 存储 在 存储 设备 中 ， 它 并 不 针对 特定 的 应 用 或 者 应 
用 集合 进行 定制 。 边 缘 计 算 层 可 能 会 上 报 大 量 来 自 于 异 构 处 理 器 、 具 有 多 种 格式 的 不 同类 型 
数据 进行 存储 ， 数 据 抽 象 层 可 以 汇聚 和 格式 化 这 些 数据 ， 使 得 应 用 访问 这 些 数据 时 更 加 可 管 
理 和 高 效 。 具 体 工作 包括 如 下 内 容 : 

1 ) 组 合 来 自 于 不 同 源 的 数据 ， 这 一 操作 包括 一 致 化 多 种 数据 格式 。 

2) 进行 必需 的 转换 ， 以 便 为 不 同 源 的 数据 提供 一 致 性 语义 。 

3 ) 将 格式 化 好 的 数据 放置 在 合适 的 数据 库 中 。 例 如 ， 大 量 重复 性 的 数据 可 能 存储 在 诸 
如 Hadoop 等 大 数据 系统 中 ， 而 事件 数据 存储 在 关系 型 数据 库 管理 系统 中 ， 以 便 提供 更 快 的 
查询 时 间 和 为 这 类 数据 提供 合适 的 查询 接口 。 

4 ) 通知 高 层 应 用 数据 已 经 完整 或 者 已 经 积累 到 一 个 特定 的 阔 值 。 

5) 整合 数据 到 一 个 位 置 (通过 ETL [ 提取 、 转 换 、 加 载 ]，ELT [ 提取 、 加 载 、 转 换 ]， 
或 者 数据 复制 )， 或 者 通过 数据 虚拟 化 技术 提供 到 多 个 数据 储存 位 置 的 访问 。 

6 ) 通过 合适 的 认证 和 授权 机 制 保护 数据 。 

7 ) 规范 化 或 者 反 规 范 化 并 索引 数据 ， 以 提供 快速 应 用 访问 。 

应 用 层 

本 层 包 括 使 用 IoT 输入 或 者 控制 IoT 设备 的 各 种 应 用 。 一 般 来 说 ， 应 用 与 第 5 层 和 数据 
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进行 非 实时 的 交互 ， 因 此 不 必 按 照 网 络 速率 进行 运作 。 为 了 支持 应 用 跨越 中 间 层 而 直接 与 第 
3 层 甚 至 第 2 层 进行 交互 ,需要 提供 相应 的 流水 线 操作 措施 。 IWF 模型 并 不 严格 地 定义 应 用 ， 
认为 这 超出 了 IWT 模型 的 讨论 范围 。 

协作 与 处 理 层 

本 层 意识 到 为 了 使 IoT 有 用 ， 用 户 必须 能 够 相互 通信 与 协作 。 这 可 能 包括 多 个 应 用 ， 以 
及 通过 因特网 或 者 企业 网 交换 数据 和 控制 信息 。 

loT 参考 模型 小 结 

IWF 将 IoT 参考 模型 作为 一 个 产业 界 可 以 接受 的 框架 ， 目 的 在 于 标准 化 与 IoT 相关 的 概 
念 和 术语 。 更 重要 的 是 ，IWF 模型 列举 了 产业 界 在 实现 IoT 价值 之 前 必须 要 完成 的 功能 和 
要 解决 的 问题 。 无 论 对 于 开发 模型 中 功能 元 素 的 供应 商 ， 还 是 开发 需求 及 评价 厂商 产品 的 客 
户 ， 这 一 模型 都 非常 有 用 。 

图 15-6 EA Cisco X} IWF 模型 的 描述 [ CISC14c ]， 该 图 整合 了 IWF 模型 的 核心 概念 。 
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图 15-6 IoT 全 球 论坛 参考 模型 ， 基本 前 提 
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15.2 loT 实现 


前 述 部 分 探讨 了 两 种 参考 模型 ， 对 于 IoT 设计 中 所 期 望 的 功能 给 出 了 一 个 很 好 的 概述 。 
通过 分 析 三 个 实现 方面 的 努力 ， 本 节 将 关注 部 署 IoT 设备 和 软件 时 的 实际 问题 。 首 先 ， 我 们 
讨论 一 种 开源 的 软件 计划 ， 随 后 探讨 两 种 商业 实现 。 


15.2.1 loTivity 


IoTivity 是 一 个 开源 的 软件 计划 ,其 目标 是 提供 一 个 标准 和 开源 的 实现 ， 从 而 使 设备 和 
服务 能 够 不 必 关 心 来 源 即 可 在 一 起 工作 。 

在 IoTivity 项 目 中 有 两 个 机 构 扮演 着 重要 角色 。 项 目 由 开放 互 连 联盟 (Open Interco- 
nnect Consortium, OIC) 资助 ，OIC 是 一 个 行业 联盟 ， 其 目标 在 于 推进 一 个 开源 的 实现 ， 以 
提升 IoT 中 数 以 亿 计 的 设备 之 间 的 互 操作 性 。 截 至 目前 , OIC 仍 致力 于 开发 标准 和 总 体 框架 ， 
以 建立 一 个 能 够 覆盖 多 种 垂直 市 场 和 用 例 互 操作 性 的 单一 解决 方案 。IoTivity 项 目的 章程 是 ， 
开发 和 维护 一 个 与 OIC 最 终 规范 相 一 致 的 开源 实现 ， 并 能 够 通过 OIC 认证 测试 。 

loTivity 项 目 由 Linux 基金 会 所 维护 ， 该 基金 会 是 一 个 非 营利 性 的 联盟 ， 致 力 于 促进 
Linux 的 成 长 和 协作 开发 。 作 为 一 个 Linux 基金 会 项 目 ，IoTivity 受 一 个 与 OIC 一 起 工作 的 
独立 指导 小 组 监督 。 和 希望 参与 项 目的 开发 者 可 以 通过 项 目 服务 器 访问 基于 RESTful 的 应 用 
程序 接口 (API)， 并 提交 代码 供 同行 评审 。 项 目 在 众多 编程 语言 、 操 作 系 统 和 硬件 平台 上 
可 用 。 

尽管 在 本 书写 作 时 OIC 尚未 发 布 任何 规范 ，IoTivity 已 经 开发 了 一 个 开源 代码 的 初始 的 
预览 版 本 。 初 始 版 本 包括 在 Linux, Arduino 和 Tizen 中 的 构建 及 开始 指导 。 该 代码 被 设计 为 
具有 很 好 的 可 移植 性 ,未 来 版 本 包括 在 其 他 操作 系统 中 进行 构建 。 

协议 体系 结构 

IoTivity 软件 提供 了 大 量 需 要 在 IoT 设备 和 应 用 平台 中 实现 的 通用 目标 的 查询 /响应 
函数 。 

loTivity 对 受 限 设备 和 非 受 限 设备 进行 了 区 分 。 在 IoT 中 的 许多 设备 ， 尤 其 是 那些 小 型 
的 大 量 设备 都 是 资源 受 限 的 。 正 如 Seghal A [ SEGH12 ] 的 论文 中 所 指出 的 那样 ， 按 照 
摩尔 定律 进行 的 技术 提升 能 够 使 伐 入 式 设 备 更 加 便宜 、 小 型 化 ， 以 及 更 加 节能 ， 但 未 必 能 
够 更 加 功能 强大 。 典 型 的 戏 入 式 IoT 设备 通常 采用 拥有 非常 小 RAM 和 存储 能 力 的 8 位 或 者 
16 位 微 控 制 器 。 资 源 受 限 设备 通常 配备 IEEE 802.15.4 射频 ， 以 便 支持 低 功 耗 低 数据 率 的 无 
线 个 人 区 域 网 络 ( WPAN)， 其 中 数据 传输 速率 在 20 ~ 250kbps 之 间 ， 而 帧 大 小 通常 不 超过 
127 字 节 。 


受 限 设备 在 IoT 中 ， FAA MERE AeA TE IEH E, 有 限 处 理 能 力 ， 以 及 低 数 
据 收发 速率 的 设备 。 


术语 非 受 限 设备 主要 指 那些 不 存在 严重 资源 约束 的 设备 ， 这 些 设备 可 以 运行 通用 目标 的 
操作 系统 ， 如 i0S、Android、Linux 和 Windows 等 。 非 受 限 设 备 包 括 具 有 较 高 处 理 能 力 和 
存储 资源 的 IoT 设备 ， 以 及 IoT 应 用 的 应 用 平台 

为 了 适应 受 限 设 备 ， 总 体 的 协议 体系 结构 ( 见 图 15-7) 需要 能 够 同时 在 受 限 和 非 受 限 设 
备 中 实现 。 在 运输 层 ， 软 件 依 赖 于 用 户 数据 报 协 议 (UDP), 该 协议 运行 于 IP 协议 之 上 , 需 
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要 更 少 的 处 理 能 力 和 存储 资源 。 在 UDP 协议 之 上 是 受 限 应 用 协议 ( CoAP)， 该 协议 是 一 个 
专门 为 受 限 设备 设计 的 简单 查询 / 响应 协议 ， 我们 随后 将 对 其 进行 描述 。IoTivity 实现 中 使 
用 了 libcoap, 一 个 基于 CC 语言 实现 的 CoAP， 能够 同时 在 受 限 设备 和 非 受 限 设备 中 使 用 。 





a) 统一 块 设备 的 资源 API 维 村 
CoAP= 受 限 应 用 协议 
SDK= 软 件 开 发 工具 包 
PAN= 个 人 区 域 网 络 


b) 受 限 设备 的 资源 API 堆 栈 


图 15-7 loTivity 协议 栈 模块 


IoTivity 库 是 一 组 软件 开发 工具 集 ， 支 持 创 建 应 用 以 实现 在 承载 IoT 应 用 的 客户 端 和 服 
(410) 务 器 之 间 进 行 通信 ， 这 些 客户 端 和 服务 器 都 是 IoT 设备 。 该 库 通 过 C 语言 实现 ， 并 为 非 受 
限 设备 增加 了 一 些 基于 C++ 的 额外 工具 。 除 了 厂商 开发 的 和 有、 增值 应 用 之 外 ， 该 软件 是 
开发 开源 应 用 的 基础 ， 这 些 开源 应 用 可 以 作为 整个 IoTivity 包 的 一 部 分 。 
受 限 应 用 协议 
CoAP 在 RFC7252《 受 限 应 用 协议 》( 2014 年 6 月 ) 中 进行 了 定义 , 该 RFC 将 CoAP 描 
述 为 一 个 专用 的 Web 传输 协议 ， 用 于 IoT 中 的 受 限 结 点 和 受 限 网 络 。 协 议 为 诸如 智能 能 源 
和 楼 宇 自 动 化 等 机 器 到 机 器 应 用 ( M2M) 所 设计 。CoAP 提供 了 一 个 在 应 用 端点 之 间 的 查询 
/响应 交互 模型 ， 支 持 内 在 的 服务 和 资源 发 现 ， 并 包括 诸如 URI 和 因特网 媒体 类 型 等 关键 概 
念 。CoAP 被 设计 为 很 容易 与 HTTP 互 连 ， 以 便 与 Web 相 集成 ， 同 时 满足 受 限 环境 中 的 多 播 
支持 、 极 低 开销 、 简 单 化 等 特殊 要 求 。 
尽管 CoAP 被 设计 为 在 受 限 设备 中 流 式 使 用 ， 该 协议 本 身 却 非常 复杂 ，RFC 7252 有 
112 页 。 这 里 我 们 只 是 给 出 一 个 简要 描述 。 
一 种 有 益 的 开始 方式 是 描述 协议 的 消息 格式 ， 如 图 15-8 所 示 。 包 括 三 类 消息 : 请 求 、 
响应 和 空 消息 ， 所 有 消息 都 使 用 同样 的 格式 。 所 有 消息 都 以 一 个 32 位 的 固定 首部 开始 ， 其 
e 版 本 : 当前 是 版 本 1。 
o 类 型 : 消息 类 型 ， 包 括 以 下 四 种 消息 类 型 。 
BAU: 这 类 消息 要 求 一 个 ACK 或 者 重 置 消息 的 确认 。CoAP 通常 运行 在 UDP 之 
上 (UDP 端口 号 为 5683 )， 而 UDP 提供 的 是 不 可 靠 的 服务 。 因 此 可 确认 消息 类 型 
在 需要 时 可 以 提供 可 靠 传输 。 


BISt HRA: KABAMSFR 271 


E 不 可 确认 : 不 需要 确认 消息 。 主 要 用 于 应 用 所 要 求 的 经 常 性 重复 消息 ， 如 重复 从 
传感器 获取 数据 等 。 

BHU: 确认 已 经 收 到 特定 的 可 确认 消息 。 

ESE: 意味 着 收 到 了 一 个 特定 的 消息 类 型 (可 确认 或 者 不 可 确认 )， 但 因为 缺失 一 
些 信 息 而 无 法 正确 处 理 它 。 

令 牌 长 度 : 指明 可 变 长 度 的 令 牌 字段 的 长 度 (如 果 存 在 的 话 )。 

代码 : 由 3 位 的 类 型 字段 和 5 位 的 详情 字段 组 成 。 类 型 字段 表明 下 述 类 型 中 的 一 种 : 

请 求 、 成 功 响应 、 客 户 端 错误 响应 和 服务 器 端 错误 响应 。 当 类 型 字段 为 请 求 时 ， 详 

情 字 段 表示 请 求 的 方法 ， 可 以 是 GET、POST、PUT 或 者 DELETE。 当 类 型 字段 为 响 

应 时 ， 详 情 字 段 表示 响应 码 ( 见 表 15-3 和 表 15-4). 

消息 ID : 用 于 检测 消息 重复 ， 以 及 将 确认 / 重 置 类 型 的 消息 和 可 确认 /不 可 确认 类 型 

的 消息 进行 匹配 。 

令 牌 : 用 于 在 不 依赖 底层 消息 的 情况 下 将 响应 与 请 求 相 匹配 。 需 要 注意 的 是 ， 令 牌 是 

与 消息 ID 完全 不 同 的 概念 。 消 息 ID 工作 于 一 个 需要 确认 的 独立 消息 的 层次 上 ， 而 

令 牌 则 用 于 区 分 并 发 请 求 的 客户 端 本 地 标识 符 ( 见 5.3 节 )， 它 也 被 称 作 请 求 ID。 

选项 :“ 类 型 长度- 数值 "(TLV) 格式 的 零 个 或 多 个 CoAP 选项 的 序列 。 


0 12 4 8 16 31 


“全 牌 (如 果 存在 ，TKL 字 节 ) 


bessona we wm em mam mm 


选项 ( 如 果 存 在 ) 





mumo o ooo SR CHILE) | 
a) 消息 格式 
3 位 5 位 
c) 代码 格式 
b) 选项 格式 
图 15-8 CoAP 格式 
表 15-3 CoAP 消息 : 类 别 、 类 型 及 代码 
消息 类 别 应 答 消息 代码 
WR 前 提 条 件 不 正确 
成 功 响应 请 求实 体 太 大 
客户 端 错误 响应 不 支持 的 内 容 格式 
服务 器 端 错误 响应 内 部 服务 器 错误 


z 未 实现 
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(2%) 

消息 类 别 应 答 消息 代码 

waxy E 
mA RATT 
Farah ru 

wih (A 
ft 

请 来 消息 方法 人 

PUT Sate 5h a 

DELETE ats Swe 0S 


表 15-4 CoAP 消息 : 每 个 消息 类 别 使 用 的 消息 类 型 


消息 类 别 


客户 端 错误 响应 
服务 器 端 错误 响应 





一 未 使 用 
* 在 正常 操作 中 未 使 用 ， 但 会 激发 一 个 重 置 消息 (“CoAP ping”) 
为 了 更 好 地 理解 CoAP 的 操作 ， 我 们 区 分 消息 类 别 、 消 息 类 型 以 及 消息 方法 。 消 息 方法 
用 于 为 高 层 软 件 提供 一 个 RESTful API， 包 括 如 下 在 CoAP 中 定义 的 常用 REST 函数 (参见 
5.47). 
e GET: 获取 一 个 信息 的 描述 ， 该 信息 对 应 于 当前 请 求 的 URI 所 标识 的 资源 。 如 果 该 
请 求 包括 一 个 接受 选项 ， 则 表明 所 期 望 的 响应 内 容 格式 。 如 果 请 求 包括 一 个 ETag 选 
项 ， 则 GET 要 求 ETag 必须 被 验证 ， 且 仅 当 验证 失败 的 情况 下 才 对 描述 进行 转换 。 
当成 功 时 ， 内 容 或 者 有 效 响应 码 应 当 加 入 到 响应 消息 中 。 
e POST: 要 求 封装 在 请 求 消息 中 的 描述 应 当 被 处 理 。 实 际 完成 的 功能 由 原始 服务 器 所 
决定 ， 并 依赖 于 目标 资源 。 本 质 上 ，POST 发 送 一 些 数据 到 指定 的 URL， 并 根据 上 
下 文 信息 执行 一 些 动作 。 
e PUT : 要 求 根 据 所 封装 的 描述 ， 对 由 所 请 求 URI 标识 的 资源 进行 更 新 或 者 创建 。 本 
EE, PUT 放置 一 个 页 面 到 一 个 指定 的 URL。 如 果 该 位 置 已 经 存在 一 个 页 面 ， 则 用 
新 的 页 面 进 行 完 整 替 换 。 如 果 不 存在 ， 则 创建 一 个 新 的 页 面 。 
e DELETE: 要 求 删除 由 所 请 求 URI 标识 的 资源 。 
上 述 简单 但 功能 强大 的 API 使 得 上 层 软 件 可 以 读 取 和 控制 IoT 设备 ， 且 无 须 关 注 信 息 传 
递 协议 的 细节 。 四 种 消息 方法 中 的 每 一 种 均 在 请 求 消息 类 别 中 传递 ， 而 应 答 消息 (如 果 有 的 
话 ) 则 采用 三 种 消息 类 别 中 的 一 种 进行 传递 。 取 决 于 请 求 的 情况 ， 请 求 和 响应 可 能 是 可 确认 
的 或 者 不 可 确认 的 ( 见 表 13-8b)。 响 应 也 可 以 携带 在 确认 消息 类 型 中 ( 撒 带 响应 )。 
图 15-9 来自 于 RFC77252， 给 出 了 CoAP 消息 交换 的 一 个 简单 例子 。 该 图 展示 了 一 个 
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基本 的 GET TAO Pr S| Ac SH i ae. AEP Sig DAR BE AI — PT AY) GET 请 求 ， 请 求 
资源 coap://server/temperature, HAH ID 为 0x7d34。 该 请 求 包括 一 个 Uri-Path 选项 ( 偏 移 
0+11=11， 长 度 11， 数 值 “temperature”) ; 令 牌 设置 为 空 。 一 个 2.05 (AR) 响应 被 封装 在 
响应 消息 中 返回 ， 以 确认 刚才 的 可 确认 请 求 ， 作 为 对 消息 ID 0x7d34 和 空 令 牌 的 应 答 。 响 应 
包括 一 个 载荷 “22.3 C”。 








Header: GET (T = CON, Code = 0.01, MD = 0x7d34) 
Uri-Path: “temperature” 
可 确认 请 求 


FEE 
Header: 2.05 Conten 


(T = ACK, Code = 2.05, M D = 0x7d34) 
Payload: “22.3 C” 


a) 消息 流 


DE e Tea 


Kor 
eli) T, 
aa 


“temperature” (IB) 
b) 请 求 


OO e e 


11111111 “22.3 C” (6B) 











c) 响应 
图 15-9 CoAP 例子 


CoAP 还 有 一 些 其 他 方面 的 内 容 超 出 了 本 节 的 讨论 范围 ， 如 安全 、 缓 存 和 代理 功能 等 。 
loTivity 库 服务 
IoTivity 库 是 一 个 运行 在 CoAP API 之 上 的 软件 ， 为 上 层 提 供 资 源 模型 ， 包 括 客户 端 和 
服务 器 。 服 务 器 负责 承载 资源 ， 包 括 两 种 类 型 : 实体 和 实体 处 理 器 。 实 体 对 应 于 IoT 中 的 
物 ， 可 以 是 执行 器 或 者 传感器 。 实 体 处 理 器 是 一 个 相关 的 设备 ， 如 缓存 来 自 于 一 个 或 多 个 传 
感 器 数据 的 设备 ， 或 者 用 于 网 关 类 型 协议 转换 的 代理 等 。IoTivity 库 为 高 层 提供 了 如 下 服务 。 
e 资源 注册 : 用 于 注册 资源 以 便 以 后 访问 。 
e 资源 和 设备 发 现 : 该 操作 返回 网 络 服务 中 某 一 类 型 的 资源 的 标识 信息 。 该 操作 通过 
多 播发 送 给 所 有 的 服务 。 
e 资源 查询 (GET): 从 资源 获取 信息 。 
e 设置 资源 状态 (PUT): 本 操作 设置 简单 资源 的 值 。 
e 观察 资源 状态 : 本 操作 注册 为 某 个 简单 资源 的 观察 者 ， 并 获取 其 值 ， 随 后 根据 应 用 
定义 的 周期 向 客户 端 提供 通知 。 
下 述 资 源 查询 的 例子 来 自 于 IoTivity 的 Web 站 点 ， 该 例子 按照 如 下 步骤 从 一 个 轻 量 级 
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的 源 处 获取 状态 〈 见 图 15-10 ): 

1 ) 客户 端 应 用 调用 resource.get(…) 以 从 资源 处 取得 一 个 描述 。 

2) 该 调用 被 安排 到 栈 中 ， 并 设置 为 在 线 运行 或 者 离线 运行 (作为 守护 进程 )。 

3) 调用 C API 来 分 发 请 求 。 该 调用 可 能 类 似 于 下 述 形式 : CDoResource(OC_REST_ 
GET, “//192.168.1.11/light/1, 0, 0, OC_CONFIRMABLE, callback); 

4) 这 里 CoAP 用 作 传 输 服 务 ， 底 层 栈 将 发 送 GET 请 求 到 目标 服务 器 。 

5 ) 在 服务 器 端 ，OCProcess() 函数 (消息 提取 ) 从 套 接 字 接 收 到 请 求 ， 并 对 其 进行 解析 ， 
然后 基于 请 求 的 URI 将 其 分 发 到 正确 的 实体 处 理 器 。 

6 ) 在 使 用 C++ API 的 地 方 ，C++ 实体 处 理 器 对 负载 进行 解析 ， 并 根据 服务 器 栈 是 在 线 
运行 还 是 离线 运行 (作为 守护 进程 )， 将 负载 交付 给 客户 应 用 。 

7) C++ SDK 将 其 传递 给 与 OCResource 相关 联 的 C++ 处 理 器 。 

8 ) 处 理 器 将 结果 代码 和 描述 返回 给 SDK. 

9) SDK 将 结果 代码 和 描述 交付 给 C++ 实体 处 理 器 。 

10) 实体 处 理 器 将 结果 代码 和 描述 返回 给 CoAP 协议 。 

11 ) CoAP 协议 将 结果 传递 给 客户 端 设备 。 

12 ) 将 结果 返回 给 OCDoResource 调用 。 

13) 将 结果 返回 给 C++ 客户 端 应 用 的 syncResultCallback。 


Fa pe 
Fa pe 


i[1] resource. [1] resource. get(callback) 
O InProcClient.get(callback) 
l > 1 [3] OCDoResource() 
: 3 4] GET/light/1 
FUE ke | 1[4] ghy i 
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图 15-10 查询 资源 状态 的 时 序 图 


loTivity 服务 
IoTivity 库 服务 为 前 面 列举 的 基本 函数 提供 了 一 个 RESTful API。 在 此 基础 上 ， 当 前 发 
布 的 版 本 包括 四 个 被 称 为 IoTivity 服务 的 应 用 。IoTivity 服务 为 应 用 开发 提供 了 通用 的 功能 
合 。 这 些 原子 服务 被 设计 为 提供 对 应 用 和 资源 的 简单 、 可 扩展 的 访问 ， 并 能 够 完全 地 自 管 
这 四 种 服务 具体 如 下 所 示 。 
e 协议 插件 管理 器 : 通过 插件 协议 转换 器 使 IoTivity 应 用 与 非 IoTivity 设备 进行 通信 。 
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它 提 供 了 许多 参考 协议 插件 和 插件 管理 器 API 以 便 启动 /停止 插件 。 

。 软 传感器 管理 器 : 在 IoTivity 之 上 以 一 种 健壮 的 方式 为 应 用 开发 者 提供 有 用 的 物理 和 
虚拟 传感器 数据 。 它 还 在 IoTivity 之 上 为 上 层 的 虚拟 传感器 提供 部 署 和 执行 环境 。 其 
功能 包括 如 下 几 部 分 : 收集 物理 传感器 数据 ; 基于 其 自身 的 组 合算 法 ， 通 过 聚合 来 
整合 所 收集 的 数据 ; 将 数据 提供 给 应 用 ; 检测 特定 的 事件 和 变化 。 

e 物体 管理 器 : 创建 组 ， 在 网 络 中 寻找 合适 的 成 员 物 体 ， 管 理 成 员 ， 以 及 简化 组 行为 

等 。 通 过 使 应 用 能 够 通过 命令 / 响应 来 处 理 一 组 物体 ， 这 一 服务 简化 了 应 用 的 操作 。 

e 控制 管理 器 : 提供 框架 和 服务 来 实现 控制 器 、 被 控制 者 和 控制 器 的 TREST 框架 。 它 

同样 为 应 用 开发 者 提供 了 API。 

为 了 更 好 地 理解 IoTivity， 我 们 来 分 析 控 制 管理 器 (CM) 服务 ， 有 具体 如 图 15-11 所 示 。 
CM 运行 于 客户 端 和 服务 器 平台 的 IoTivity 库 之 上 ， 提 供 了 软件 开发 包 (SDK) API, AFR 
现 受 控 设 备 和 通过 RESTful 资源 操作 控制 这 些 设备 。CM 还 提供 了 订阅 /通知 功能 ， 用 于 监 
测 设备 运行 或 状态 改变 。 





图 15-11 IoTivity 控制 管理 器 体系 结构 

在 当前 发 布 版 本 中 ，CM 最 适合 于 智能 家 庭 应 用 。CM 使 用 了 三 星 公 司 的 智能 家 庭 架构 。 
三 星 在 2014 年 早期 提出 了 三 星 智能 家 庭 的 概念 ， 该 服务 支持 智能 电视 、 家 用 电器 以 及 智能 
手机 等 进行 互联 ， 并 通过 一 个 集成 平台 进行 管理 。 其 功能 可 以 使 用 户 通 过 连接 到 个 人 或 者 
家 用 设备 上 (冰箱 、 洗 衣 机 、 智 能 电视 、 数 码 相 机 、 智 能 手机 甚至 包括 GALAXY 可 穿戴 设 
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备 )， 随 后 使 用 一 个 应 用 来 控制 和 管理 他 们 的 家 用 设备 。 尽 管 三 星 智能 家 庭 由 三 星 公 司 所 提 
出 ， 并 作为 一 个 控制 三 星 设备 的 平台 ， 但 该 架构 定义 的 功能 同样 可 以 在 其 他 环境 中 使 用 ， 因 
此 被 IoTivity 作为 其 CM 应 用 的 一 种 有 效 基础 。 

CM 包括 下 述 几 个 组 成 部 分 。 


SDK API: 一 个 RESTful 的 接口 ， 用 于 REST 框架 ， 将 在 本 章 随后 部 分 讨论 。 

智能 家 庭 数 据 模型 : 用 于 所 有 家 用 设备 和 电器 的 数据 模式 ， 该 模式 定义 了 一 个 层次 
化 的 资源 模型 和 设备 属性 。 通 用 资源 集合 提供 了 与 设备 能 力 、 设 备 配置 和 所 支持 的 
资源 等 相关 的 信息 。 功 能 相关 资源 提供 了 与 设备 特定 功能 (如 温度 调节 器 、 光 、 门 
等 ) 相关 的 资源 。 通 过 数据 模型 ， 应 用 开发 者 能 够 很 方便 地 编译 设备 信息 、 状 态 ， 并 
控制 设备 。 

RESTful 资源 请 求 / 应 答 处 理 器 : 通过 将 数据 从 数据 模型 序列 化 为 消息 格式 ， 提 供 了 
从 控制 器 向 受 控 设 备 发 送 请 求 的 功能 。 它 将 接收 到 的 响应 消息 转换 为 智能 家 庭 数据 
模型 ， 以 便 随 后 交付 给 控制 器 。 它 使 用 客户 端 模块 发 送 请 求 和 接收 响应 。 

loTivity Aim: 使 用 IoTivity 基础 框架 为 每 个 IoTivity 协议 实现 客户 端 ， 以 便 在 不 
同 的 IoTivity 设备 之 间 进 行 消息 传递 。 它 支持 向 其 他 IoTivity 设备 (例如 受 控 设备 ) 
发 送 请 求 并 接收 来 自 它 们 的 响应 。 

loTivity 服务 器 : 使 用 IoTivity 基础 框架 实现 服务 器 ， 以 响应 来 自 其 他 IoTivity 设备 
的 请 求 。CM 以 服务 器 的 身份 响应 来 自 其 他 IoTivity 设备 的 发 现 请 求 ， 并 接收 从 其 他 
IoTivity 设备 发 送 的 通知 。 

设备 发 现 : 使 用 基础 框架 中 所 提供 的 IoTivity 发 现 机 制 来 发 现 其 他 IoTivity 设备 。 除 
了 初始 设备 发 现 之 外 ，CM 发 现 机 制 检索 设备 特定 的 信息 和 能 力 ， 并 将 所 发 现 设 备 的 
信息 维护 在 设备 列表 中 。 

订阅 / 通知 管理 器 : 如 在 三 星 智能 家 庭 概述 中 所 定义 的 一 样 ， 本 模块 提供 向 其 他 设备 
订阅 并 接收 来 自 其 他 设备 通知 的 功能 。 这 是 一 个 RESTful 订阅 /通知 机 制 ， 该 机 制 中 
CM 订阅 其 他 IoTivity 设备 的 资源 。 通 知 设备 在 订阅 请 求 期 间 通 过 CM 指定 的 REST 
URI 通知 CM 服务 器 。CM 还 针对 已 经 订阅 的 设备 和 资源 维护 相应 的 订阅 信息 。 


参考 图 15-11， 我 们 可 以 看 到 ，CM 提供 了 一 组 针对 智能 家 居 管 理 的 功能 ， 并 将 其 构建 
在 由 IoTivity 库 提供 的 更 原始 的 功能 之 上 。 为 了 使 应 用 程序 能 够 通过 Web 风格 的 界面 访问 
CM，IoTivity 软件 版 本 在 CM 之 上 包含 一 个 REST 框架 软件 层 。 该 框架 包括 以 下 几 个 模块 。 


REST 请 求 处 理 器 : 从 应 用 程序 模块 接收 REST 请 求 ， 进 行 解析 ， 验 证 请 求 内 容 ( 仅 
对 其 模式 进行 验证 )， 并 通过 其 接口 将 请 求 转发 给 CM 模块 。REST 请 求 处 理 器 在 无 
效 内 容 (无 效 的 URI / 无 效 请 求 内 容 等 ) 的 情况 下 返回 错误 。 

Web 缓存 : 缓存 从 应 用 程序 接收 的 REST 请 求 。 在 先前 处 理 同 样 的 请 求 后 系统 没有 
变化 时 ， 它 会 以 “304 未 修改 ”进行 响应 。 

Web 过 滤器 : 解析 请 求 URI 中 的 过 滤器 参数 。 

CM 模块 接口 : 作为 REST 框架 和 CM 之 间 的 接口 ， 主 要 负责 将 已 处 理 的 REST 请 求 
转发 给 CM。 它 向 CM 创建 和 注册 响应 监听 器 ， 随 后 CM 使 用 这 些 响 应 监听 器 进行 异 
步 响应 。 此 外 ， 这 里 还 维护 着 一 个 30 秒 的 超时 时 间 ， 如 果 在 这 个 时 间 内 没有 从 CM 
接收 到 响应 ， 则 会 向 应 用 程序 返回 一 个 错误 信息 。 


图 15-11 展示 了 另外 3 个 元 素 。 在 执行 模型 中 ， 客 户 端 使 用 HTTP 通过 Web 服务 器 的 
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Web 接口 与 IoTivity 进行 交互 。 该 Web 服务 器 提供 了 一 个 用 户 友好 的 界面 ， 使 用 户 能 够 管 
理智 能 家 居 设 备 。 每 个 用 户 请 求 都 被 传递 给 应 用 程序 模块 ， 该 模块 解析 HTTP 请 求 以 提取 信 
息 (方法 、URI、 请 求 主 体 等 )， 并 将 其 转发 到 REST 框架 的 REST 请 求 处 理 器 。 最 后 ， 响 应 
以 类 似 的 方式 通过 响应 生成 器 返回 。 


15.2.2 思科 loT 系统 


2015 年 ， 思 科 推 出 了 一 套 被 称 为 思科 IoT 系统 的 集成 和 协同 产品 ， 指 导 该 产品 开发 的 
理念 主要 基于 以 下 的 观察 : 思科 估计 到 2020 年 将 有 500 亿 台 设备 和 物体 连接 到 因特网 。 然 
而 今天 物理 世界 中 超过 99% 的 物体 仍 未 连接 。 为 了 利用 这 一 数字 化 浪潮 带 来 的 前 所 未 有 的 
机 遇 ， 越 来 越 多 的 公司 和 城市 开始 部 署 物 联 网 解决 方案 。 

然而 ， 数 字 化 本 身 是 十 分 复杂 的 。 客 户 常常 以 前 所 未 有 的 规模 连接 设备 和 对 象 ， 或 融合 
不 相关 的 网 络 。 此 外 ， 他 们 只 能 通过 应 用 先进 的 数据 分 析 来 认识 这 些 连 接 的 价值 ， 即 便 如 
此 ， 客 户 仍 然 需要 创建 能 够 加 速 新 业务 模式 或 提高 生产 力 的 新 一 代 智 能 应 用 。 所 有 这 一 切 都 
必须 在 不 牺牲 系统 中 任何 一 点 安全 性 〈 从 设备 到 数据 中 心 和 云端 ) 的 情况 下 实现 。 

思科 IoT 系统 通过 基础 设施 来 解决 数字 化 的 复杂 性 ， 这 一 基础 设施 旨 在 管理 由 多 样 化 的 
端 结 点 和 平台 所 组 成 的 大 型 系统 以 及 它们 创建 的 海量 数据 。 思 科 IoT 系统 由 6 个 关键 技术 支 
柱 组 成 ， 当 将 它们 组 合 在 一 起 形成 一 个 架构 时 ， 有 助 于 降低 数字 化 的 复杂 性 。 思 科 还 在 6 大 
支柱 之 中 公布 了 若干 物 联 网 产品 ， 并 将 继续 推出 新 产品 作为 思科 IoT 系统 的 一 部 分 。 

图 15-12 展示 了 下 面 所 描述 的 6 大 IoT 系统 支柱 。 


应 用 
$993 EE 
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K 15-12 ”思科 IoT 系统 


e 网 络 连接 : 包括 专用 的 路 由 、 交 换 和 无 线 产 品 ， 具 有 加 固 和 非 加 固 等 各 种 形式 。 

。 雾 计算 : 提供 思科 的 雾 计算 或 者 边缘 数据 处 理 平台 ，IOx。 

e 数据 分 析 : 一 种 优化 的 基础 设施 ， 可 以 用 于 实施 分 析 ， 以 及 为 思科 连接 分 析 产 品 组 
合 和 第 三 方 分 析 软 件 提供 可 操作 的 数据 。 
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e 安全 : 统一 赛 博 和 物理 安全 ， 以 实现 运营 效益 ， 增 加 对 物理 和 数字 资产 的 保护 。 思 
BLAS IP 监控 产品 组 合 以 及 TrustSec 安全 和 云 / 赛 博 安 全 产品 等 网 络 产品 支持 用 户 监 
测 、 检 测 和 响应 组 合 的 IT 和 操作 技术 (OT) 攻击 。 

e 管理 与 自动 化 : 用 于 管理 端 结 点 和 应 用 的 工具 。 

e 应 用 支持 平台 : 一 套 为 行业 和 企业 、 生 态 系统 合作 伙伴 和 第 三 方 供应 商 所 提供 的 
API， 用 于 在 物 联 网 系统 功能 的 基础 上 设计 、 开 发 和 部 署 自己 的 应 用 程序 。 

本 讨论 的 后 续 部 分 依次 对 每 个 支柱 技术 进行 概述 。 基 于 思科 IoT 系统 白皮书 [CISC15b] 

中 的 图 表 ， 图 15-13 重点 展示 显示 了 每 个 支柱 所 涉及 的 关键 要 素 。 
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图 15-13 ”思科 IoT 支 3 支撑 技术 


网 络 连接 

Cisco IoT 系统 的 网 络 连接 组 件 是 网 络 边缘 中 各 种 网 络 产品 的 集合 ， 用 于 支持 智能 对 象 、 
网 关 和 其 他 边缘 计算 设备 之 间 的 连通 性 。 许 多 智能 对 象 被 部 署 在 条 件 十 分 苛刻 的 环境 中 ， 例 
如 工厂 、 农 场 和 其 他 室外 环境 。 通 常 这 些 设备 通过 有 限 的 发 射 /接收 范围 进行 无 线 通信 。 因 
此 ,边缘 网 络 设备 需要 满足 一 些 独特 的 要 求 ， 包 括 如 下 内 容 : 

© 支持 大 量 的 端 系统 

o 在 各 种 苛刻 或 者 远程 环境 中 运行 

o 靠近 所 支持 的 物 联 网 对 象 
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网 络 连 接 组 件 将 许多 新 旧 产 品 汇 集 在 一 起 ， 以 更 好 地 支持 物 联 网 。 该 产品 线 包括 可 靠 、 
可 扩展 、 高 性 能 的 网 络 解决 方案 ， 涵 盖 了 路 由 、 交 换 和 无 线 产 品 等 内 容 的 广泛 组 合 ， 可 提供 
加 固 和 非 加 固 等 形式 ， 并 可 以 将 软件 解决 方案 集成 到 第 三 方 设备 中 。 

具体 的 产品 组 合 可 以 分 为 以 下 几 个 类 别 。 

e 工业 交换 设备 : 一 系列 简洁 、 坚 固 的 以 太 网 交换 机 ， 可 处 理工 业 网 络 中 的 安全 、 语 
音 和 视频 流量 。 这 些 产品 的 一 个 关键 特性 是 它们 实现 了 思科 专 有 的 弹性 以 太 网 协议 
(REP). REP 提供 了 生成 树 协议 (STP) 的 一 种 替代 方案 。REP 提供 了 一 种 控制 网 络 
环 路 、 处 理 链 路 故障 并 优化 收敛 时 间 的 方法 ， 它 控制 一 组 连接 在 同一 个 网 段 中 的 端 
口 ， 确 保 该 网 段 不 创建 任何 桥接 环 路 ， 并 对 网 段 内 的 链 路 故障 做 出 响应 。REP 为 构 
建 复 杂 网 络 提供 了 基础 ， 并 能 够 支持 VLAN 负载 平衡 。 
工业 路 由 设备 : 这 些 产 品 经 认证 能 满足 恶劣 环境 标准 的 要 求 。 它 们 支持 各 种 通信 接 
O, WAKA, PO, ER, WiMAX 和 RF 网 络 等 。 
工业 无 线 设 备 : 专 为 部 署 在 各 种 苛刻 环境 中 设计 。 这 些 产品 提供 无 线 接 人 点 功能 ， 并 
实现 了 思科 的 VideoStream， 它 通过 将 多 播报 文 封 装 在 单 播报 文中 的 方式 来 改善 多 媒 
体 应 用 。 
FRAKES: 思科 艇 人 式 业 务 交 换 机 针对 在 苛刻 环境 中 需要 交换 能 力 的 移动 和 和 做 人 
式 网 络 进行 了 优化 。 主 要 产品 是 思科 路 由 器 家 族 中 的 戏 人 式 服 务 2020 系列 交换 机 产 
品 。 这 些 产品 在 硬件 板 卡 上 实现 ， 可 以 集成 到 各 种 硬件 设备 上 。 同 样 在 这 个 类 别 中 ， 
思科 还 提供 了 专 为 小 型 、 低 功 耗 Linux 设备 所 设计 的 软件 路 由 器 应 用 程序 。 

要 计算 

IoT 系统 的 雾 计算 组 件 由 将 IoT 应 用 程序 扩展 到 网 络 边缘 的 软件 和 硬件 组 成 ， 在 数据 生 
成 时 即 可 对 其 进行 高 效 分 析 和 管理 ， 从 而 减少 延迟 和 带宽 要 求 。 

雾 计算 组 件 的 目标 是 为 在 路 由 器 、 网 关 和 其 他 IoT 设备 上 部 署 的 IoT 相关 应 用 程序 提供 

个 平台 。 为 了 在 雾 结 点 上 托管 新 的 和 现 有 的 应 用 程序 ， 思 科 提 供 了 一 个 名 为 IOx 的 新 软件 
平台 ， 以 及 一 个 用 于 在 IOx 上 部 署 应 用 程序 的 API。IOx 平台 结合 了 Cisco IOS 操作 系统 和 
Linux (参见 图 15-14 ) 。 目 前 ，IOx BAF Cisco 路 由 器 上 实现 。 

思科 IOS (最 初 称 为 互联 网 操作 系统 ) 是 
大 多 数 思科 系统 的 路 由 器 和 当前 思科 网 络 交 Eee 
换 机 上 使 用 的 软件 。IOS 是 一 个 集成 到 多 任 
务 操 作 系 统 中 的 路 由 、 交 换 、 网 络 互联 和 电 - 
信 功 能 的 软件 包 。 不 能 将 其 与 苹果 在 iPhone 
和 iPad 上 运行 的 iOS 操作 系统 混淆 。 图 15-14 “思科 IOx 

以 IOS 为 基础 ，IOx 将 IoT 所 需 的 通信 和 计算 资源 整合 到 单个 平台 上 ， 以 便 支 持 网 络 边 
缘 的 各 种 应 用 程序 。 如 图 15-14 所 示 ，IOx 平台 (如 路 由 器 ) 使 用 多 核 处 理 器 的 多 任务 功能 
并 行 运行 IOS 和 Linux, Linux 作为 支持 API 和 中 间 件 服务 的 基础 ， 使 合作 伙伴 公司 能 够 在 
IOx 平台 上 实现 雾 应 用 程序 。 

数据 分 析 

IoT 系统 的 数据 分 析 组 件 由 分 布 式 网 络 基 础 设施 单元 和 IoT 特定 的 API 所 组 成 ， 可 在 整 





个 网 络 架 构 中 (从 去 到 雾 ) 运行 特定 于 具体 业务 的 软件 分 析 包 ， 并 人 允许 客户 将 IoT 数据 智能 


地 反馈 至 业务 分 析 中 。 
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思科 IoT 分 析 基 础 设施 包括 如 下 内 容 。 
e 用 于 实时 分 析 的 基础 设施 : 在 思科 路 由 器 、 交 换 机 、 统 一 通信 系统 ( UCS) 服务 器 和 
IP 摄像 机 上 集成 网 络 、 存 储 和 计算 功能 ， 以 便 使 分 析 功 能 直接 在 雾 结 点 上 运行 ， 达 
到 在 网 络 边缘 进行 实时 收集 、 存 储 和 分 析 的 目的 。 
云 到 雾 : 思科 雾 数据 服务 包括 应 用 业务 规则 的 API， 并 控制 哪些 数据 保持 在 雾 中 用 于 
实时 分 析 ， 以 及 哪些 数据 需要 发 送 到 云 中 以 便 长 期 存储 和 进行 历史 分 析 。 
e 企业 分 析 集成 : 使 用 IOx API， 企 业 可 以 实时 智能 地 在 雾 结 点 上 运行 分 析 。 雾 数据 服 
务 允 许 将 物 联 网 数据 导出 到 云端 。 集 成 IoT 数据 可 以 提高 运营 效率 、 提 高 产品 质量 
并 降低 成 本 。 
安全 
安全 组 件 的 目的 是 提供 从 云 到 雾 的 解决 方案 ， 以 解决 在 攻击 之 前 、 之 中 和 之 后 的 攻击 连 
续 性 。 该 组 件 包括 基于 云 的 威胁 防护 、 网 络 和 周边 安全 性 、 基 于 用 户 和 组 的 身份 服务 、 视 频 
分 析 ， 以 及 安全 物理 访问 。 
安全 组 合 包括 如 下 元 素 。 
。 基于 云 的 威胁 防护 : 由 思科 的 高 级 恶意 软件 防护 (AMP) 软件 包 所 提供 。 这 是 一 个 应 
用 面 十 分 广泛 的 产品 ， 可 部 署 在 各 种 思科 和 第 三 方 平台 上 。AMP 产品 使 用 大 数据 分 
析 、 遥 测 模型 和 全 球 威胁 情报 ， 以 帮助 实现 连续 恶意 软件 的 检测 和 阻止 、 连 续 分 析 
和 追溯 告警 。 
e. 网 络 和 周边 安全 : 产品 包括 防火 墙 和 入 侵 防御 系统 。 
。 基于 用 户 和 组 的 身份 服务 : 产品 包括 一 个 身份 服务 引擎 ， 该 引擎 是 一 种 安全 策略 管 
425 理 平 台 ， 用 于 自动 化 和 强化 对 网 络 资源 的 上 下 文 感知 安全 访问 。 产 品 还 包括 思科 
TrustSec 技术 ， 它 使 用 软件 定义 的 分 割 机 制 来 简化 网 络 访问 的 配置 、 加 速 安全 操作 并 
确保 安全 策略 能 够 在 网 络 中 的 任何 地 方 一 致 地 执行 。 
e 物理 安全 : 思科 的 物理 安全 方法 由 硬件 设备 和 安全 管理 软件 组 成 。 产 品 包括 视频 监 
控 、IP 摄像 机 技术 、 电 子 访问 控制 和 事件 响应 。 思 科 物 理 安全 解决 方案 可 以 与 其 他 
思科 和 合作 伙伴 技术 相 集成 ， 并 提供 统一 的 接口 ， 从 而 可 以 进行 情境 感知 和 快速 明 
智 的 决策 。 
管理 与 自动 化 
管理 与 自动 化 组 件 旨 在 简化 大 型 IoT 网 络 的 管理 ， 支 持 多 个 孤岛 功能 ， 并 实现 OT 数据 
与 IT 网 络 的 融合 。 它 包括 以 下 元 素 。 
e loT 领域 网 络 管理 者 : 一 个 软件 平台 ， 能 够 提供 各 种 管理 路 由 器 、 交 换 机 和 端 结 点 设 
备 的 工具 。 这 些 工具 包括 故障 管理 、 配 置 管理 、 计 费 管理 、 性 能 管理 、 诊 断 和 故障 
排除 ， 以 及 用 于 行业 特定 应 用 程序 的 北向 API 
。 思科 基本 管理 组 合 : 提供 对 家 庭 网 络 可 见 性 的 远程 管理 和 配置 解决 方案 。 该 软件 包 
可 以 发 现 有 关 家 庭 中 所 有 连接 设备 的 详细 信息 ， 并 进行 远程 管理 。 
e。 思科 视频 监控 管理 器 : 提供 视频 、 分 析 和 IoT 传感器 集成 ， 用 于 支持 物理 安全 管理 。 
应 用 支持 平台 
该 组 件 提供 了 一 个 平台 ， 用 于 基于 云 的 应 用 程序 开发 ， 以 及 从 云 到 雾 进 行 简单 和 大 规模 
的 部 署 。 该 组 件 还 提供 了 开放 的 API 和 应 用 开发 环境 供 客户 、 合 作 伙 伴 和 第 三 方 使 用 。 它 
具有 以 下 元 素 。 


BIS# HRA: KABHSFEM 281 


e 思科 IOx 应 用 程序 托管 : 通过 IOx 功能 ,来 自 各 行 各 业 的 客户 和 解决 方案 提供 商 将 
能 够 直接 在 思科 工业 网 络 设备 上 (包括 加 固 路 由 器 、 交 换 机 和 IP 摄像 机 ) 开发 、 管 
理 和 运行 软件 应 用 程序 。 

e。 思科 雾 管理 者 : 允许 对 在 边缘 运行 的 多 个 应 用 程序 进行 中 央 管 理 。 该 管理 平台 使 管 
理 员 能 够 控制 应 用 程序 设置 和 生命 周期 ， 从 而 可 以 更 方便 地 访问 和 检查 大 型 IoT 的 
部 署 情况 。 

e 思科 Ox 中 间 件 服务 : 中 间 件 是 帮助 程序 和 数据 库 (可 能 在 不 同 平台 上 ) 协同 工作 的 
软件 “黏合 剂 ”， 其 最 基本 的 功能 是 实现 不 同 软件 之 间 的 通信 。 这 一 元 素 提 供 了 IoT 
和 云 应 用 进行 通信 所 需 的 工具 。 


15.2.3 ioBridge 


IoBridge 提供 软件 、 固 件 和 Web 服务 ， 旨 在 简化 和 降低 互联 网 相关 设备 与 产品 的 成 本 ， 
这 些 设备 和 产品 可 能 来 自 于 制造 商 、 专 业 人 员 或 者 临时 用 户 。 通 过 提供 所 有 必要 的 组 件 来 支 
持 Web 功能 ， 避 免 了 ioBridge 的 客户 与 多 个 供应 商 的 解决 方案 相 结合 时 所 面临 的 复杂 性 和 
成 本 。ioBridge 产品 本 质 上 是 针对 大 量 物 联 网 用 户 的 成 熟 解决 方案 。 

ioBridge 平台 

ioBridge 提供 了 一 个 完整 的 安全 、 私 有 和 可 扩展 的 端 到 端 平 台 ， 适 用 于 从 自己 动手 做 的 
(DIY) 家 庭 项 目 到 商业 产品 和 专业 应 用 程序 。ioBridge 同时 是 硬件 和 云 服务 提供 商 ， 其 IoT 
平台 使 用 户 能 够 使 用 可 扩展 的 Web 技术 创建 控制 和 监测 应 用 程序 。ioBridge 具有 端 到 端 安 
全 性 、 到 Web 和 移动 应 用 程序 的 实时 1/O 流 ， 以 及 产品 易于 安装 和 易于 使 用 等 特点 。 

图 15-15 展示 了 ioBridge 技术 的 一 些 主要 特性 。 峙 入 式 设 备 与 云 服 务 之 间 的 紧密 集成 使 
得 该 图 中 显示 的 许多 功能 在 传统 Web 服务 器 技术 中 是 不 可 能 实现 的 。 需 要 注意 的 是 ， 现 有 
的 ioBridge 能 入 式 模 块 还 包括 Web 可 编程 控制 或 “规则 和 动作 ”， 这 使 得 ioBridge tk AZM 
块 即 使 在 未 连接 到 ioBridge 云 服务 器 的 情况 下 也 可 以 控制 设备 。 

设备 方面 的 主要 产品 是 固件 、Iota 模块 和 网 关 。 在 可 能 的 地 方向 设备 添加 固件 ， 以 便 增 
加 与 ioBridge 服务 通信 的 功能 。Iota 是 微型 嵌入 式 固件 或 者 是 具有 以 太 网 或 Wi-Fi 网 络 连 接 
的 硬件 模块 。 网 关 是 一 些小 型 设备 ， 可 以 充当 协议 转换 器 或 者 作为 IoT 设备 和 ioBridge 服务 
之 间 的 桥接 设备 。 

本 质 上 ，IoT 平台 实现 了 嵌入 式 设备 与 Web 服务 的 无 颖 组 合 。IoBridge HET 2A TERK 
入 式 设 备 中 的 硬件 板 、 固 件 和 软件 ， 以 及 可 在 平台 (如 智能 手机 和 平板 电脑 ) 上 运行 的 应 用 
程序 和 Web 服务。 

ThingSpeak 

ThingSpeak 是 由 ioBridge 所 开发 的 开源 IoT 平台 。ThingSpeak 可 以 创建 传感器 记录 应 
用 程序 、 位 置 跟踪 应 用 程序 ， 以 及 具有 状态 更 新 的 社交 物 联网 。 它 提供 实时 数据 收集 的 功 
能 ， 以 图 表 的 形式 可 视 化 收集 的 数据 ， 并 创建 插件 和 应 用 以 便 与 Web 服务 、 社 交 网 络 和 其 
他 API 相 协 作 。 

ThingSpeak 的 基本 元 素 是 托管 在 ThingSpeak 网 站 上 的 ThingSpeak 通道 。 该 通道 负责 存 
储 发 送 到 ThingSpeak 的 数据 ， 由 以 下 元 素 组 成 。 

e 用 于 存储 任何 类 型 数据 的 8 个 字段 : 这 些 字段 可 用 于 存储 来 自传 感 咒 或 嵌入 式 设备 

的 数据 。 
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eo 3 个 位 置 字段 : 可 用 于 存储 纬度 、 经 度 和 高 度 。 这 些 对 于 跟踪 移动 设备 非常 有 用 。 
o 1 个 状态 字段 : 描述 存储 在 通道 中 的 数据 的 短 消息 。 


云 服 务 


AG SS - - - 
实时 告警 
拖 放 式 控制 面板 ， 基 于 向 导 的 模块 配 ， 置 表 | 
ARMER, EREHE, WARE || 电子 邮件 , 短信， 社交 网 络 更 新 ,Thing-Sync, 
则 和 动作 界面， 移动 访问 vaati 基于 时 间 的 告警 ， M2M 更 新 


利用 表达 式 生 成 器 自 定义 缩放 小 工具 
多 传感器 功能 ， 使 用 变量 的 自然 语言 数学 表 || 1/O 监 视 器 ， 数 字 和 模拟 输出 控制 ， 串 行 消息 ， 
达 式 ， 三 角 ， 根 ， 指 数 ， 对 数 ， 党 数 ， 会 人 [| 点 击 设计 器 ， 小 工具 访问 API 


下 ,| An Web 服务 集成 

č 外 部 反馈 模块 虚拟 Web 传 感 器 ，Gooale 地 图 

和 ni 和 图 表 API， 社 交 网 络 API， 时 间 和 事件 操作 ， 
| 数据 反馈 API， 开 放 获取 API，RESTfu 接 中 


以太 网 ; Wi-Fi, aiai J J 


er er Cone 


图 15-15 ioBridge 物 联 网 平台 


具有 ioBridge 应 用 的 ioBridge 设 备 和 平台 可 以 通过 通道 进行 通信 。ThingSpeak 通 
道 也 可 以 与 Twitter 连接， 以 便 通 过 推 文 描述 传感器 更 新 和 其 他 数据 。 需 要 注意 的 是 ， 
ThingSpeak 并 不 仅 限 于 ioBridge 设备 ， 它 还 可 以 与 任何 具有 需要 通过 ThingSpeak 通道 进行 
通信 的 软件 的 设备 配合 使 用 。 
用 户 首先 在 ThingSpeak 网 站 上 定义 一 个 通道 。 这 是 一 个 包括 以 下 步骤 的 简单 交互 过 程 : 
1) 创建 具有 唯一 ID 的 新 通道 。 
2) 指定 该 通道 是 否 公 开 (任何 人 可 以 打开 查看 ) 或 私有 。 
3) 创建 1 ~ 8 个 字段 ， 可 以 容纳 任何 类 型 的 数据 ， 并 给 每 个 字段 一 个 名 字 。 
4) 创建 API 密 钥 。 每 个 通道 具有 唯一 的 写 和 人 API 密 钥 ,传送 到 通道 的 任何 数据 只 有 通 
过 API 密 钥 才能 被 写 和 一 个 或 多 个 字段 。 每 个 通道 可 能 有 多 个 读 取 API 密 钥 。 如 果 通 道 是 
私有 的 ， 则 只 能 通过 提供 API 密 钥 来 读 取 数 据 。 用 户 可 以 为 应 用 程序 指定 相应 的 API 密 钥 ， 
以 使 其 能 够 执行 某 种 数据 处 理 或 指令 
ThingSpeak 提供 的 应 用 程序 可 以 更 轻松 地 与 Web 服务 、 社 交 网 络 和 其 他 API ER, 其 
中 一 些 典 型 的 应 用 程序 如 下 。 
e ThingTweet : 允许 用 户 通过 ThingSpeak 将 信息 发 布 到 twitter。 事 实 上 ， 这 是 一 个 将 
发 帖 重 定向 到 Twitter 的 TwitterProxy. 
e ThingHTTP : 允许 用 户 连接 到 Web 服务 ， 并 支持 HTTP AY GET, PUT, POST 和 
DELETE 方法 。 
© TweetControl : 允许 用 户 监测 具有 特定 关键 字 的 Twitter 订阅 ， 然 后 对 请 求 进行 相应 
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处 理 。 一 旦 在 Twitter 订阅 中 找到 了 特定 关键 字 ， 用 户 就 可 以 使 用 ThingHTTP 连接 到 
不 同 的 Web 服务 或 执行 特定 的 操作 。 

e 反应 : 当 通 道 满足 特定 条 件 时 ， 发 送 推 文 或 触发 ThingHTTP 请 求 。 

@ TalkBack: 对 命令 进行 排队 ， 然 后 允许 设备 按照 这 些 排队 的 命令 执行 动作 。 

è TimeControl: 可 以 在 将 来 的 指定 时 间 执 行 ThingTweet、ThingHTTP 或 TalkBack, 也 

可 以 用 于 在 整个 星期 的 特定 时 间 段 周期 性 地 执行 这 些 动作 。 

除了 列 出 的 上 述 应 用 程序 之 外 ，ThingSpeak 还 允许 用 户 使 用 HIML CSS 和 JavaScript 来 
创建 ThingSpeak 应 用 程序 作为 插件 ， 并 可 以 随后 将 其 嵌 人 到 网 站 中 或 ThingSpeak 的 通道 内 。 

RealTime.io 

ioBridge 的 另 一 个 产品 是 RealTime.io， 这 种 技术 与 ThingSpeak 相似 ， 但 相对 而 言 更 加 
强大 和 更 加 复杂 。RealTime.io 是 一 个 云 平台 ， 可 以 让 任何 设备 连接 到 云 服务 和 手机 中 进行 
控制 、 告 警 、 数 据 分 析 、 消 费 者 需求 分 析 、 远 程 维 护 ， 以 及 功能 选择 。 其 基本 意图 是 使 得 利 
用 ioBridge 技术 的 产品 制造 商 能 够 快速 、 安 全 地 将 新 的 联网 家 庭 产品 推 向 市 场 ， 并 同时 削减 
其 设备 的 连接 成 本 。 

RealTime.io 应 用 构建 器 允许 用 户 直接 在 RealTime.io 云 平台 上 构建 Web 应 用 程序 。 用 
户 可 以 基于 HTML5、CSS 和 JavaScript 编写 Web 应 用 程序 ， 并 创建 与 设备 、 社 交 网 络 、 外 
部 API 和 ioBridge Web 服务 之 间 的 交互 。RealTime.io 包括 内 符 于 浏览 器 的 代码 编辑 器 、 
JavaScript 库 、 应 用 程序 更 新 跟踪 、 设 备 管理 器 ， 并 可 以 使 用 现 有 的 ioBridge 用 户 账 户 进行 
单 点 登录 。RealTime.io 与 ioBridge 中 基于 Iota 的 设备 和 固件 自然 兼容 。 

RealTime.io 内 置 了 模板 应 用 或 定制 应 用 ， 其 中 模板 应 用 程序 是 预先 构建 的 应 用 程序 ， 
用 户 可 以 以 这 些 应 用 程序 为 基础 进行 自 定义 。 自 定义 应 用 程序 允许 用 户 上 传 自己 的 文件 和 图 
像 ， 而 不 需要 以 任何 模板 为 基础 。 

图 15-16 显示 了 ioBridge 的 整体 环境 。 


设备 侧 应 用 侧 





WN 





图 15-16 ioBridge 环境 
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15.3 ”重要 术语 


学 完 本 章 后 ， 你 应 当 能 够 定义 下 列 术语 。 


准确 度 微 控 制 器 

执行 微 处 理 器 

应 用 程序 处 理 器 操作 技术 (OT) 
受 限 应 用 协议 (CoAP) 精度 

受 限 设备 射频 识别 (RFID) 
专用 处 理 器 RFID 读 写 器 
深度 能 入 式 系统 读 取 距离 

电子 产品 码 (EPC) 解析 度 
HARRI 非 受 限 设 备 
雾 计 算 传感器 

信息 技术 CIT) RFID 标签 

物 联网 (IoT) 收发 器 
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| 第 六 部 分 


Foundations of Modern Networking: SDN, NFV, QoE, IoT, and Cloud 


相关 主题 





竖 持 阅读 本 书 到 现在 的 读者 应 当 认 识 到 已 经 解决 的 难题 、 遇 到 的 危险 、 犯 过 的 
错误 ， 以 及 已 经 完成 的 工作 。 
一 一 《世界 危机 》 BAA- KER 


第 16 章 安全 
第 17 章 新 的 网 络 技术 对 IT 职业 的 影响 


第 16 章 对 现代 网 络 演化 过 程 中 遇 到 的 安全 问题 进行 了 概述 ， 并 分 别 在 不 同 的 部 分 讨论 
软件 定义 网 络 (SDN)、 网 络 功能 虚拟 化 (NFV), ZA IoT 的 安全 问题 。 第 17 章 通过 对 网 络 
专业 人 员 职 业 生涯 的 一 些 观 察 和 建议 总 结 全 书 。 


第 16 章 | 


Foundations of Modern Networking: SDN, NFV, QoE, IoT, and Cloud 


安 全 





预防 陌生 人 所 带 来 的 致命 性 危害 是 原始 人 们 戒 慎 的 基本 原则 。 因 此 ， 在 允许 陌 
生 的 外 地 人 进入 本 地 区 之 前 ， 或 至 少 允 许 他 们 与 本 地 居民 自由 交往 之 前 ， 当 地 人 通 
常 举行 一 些 仪 式 来 解除 陌生 人 所 具有 的 魔法 力量 ， 或 者 说 是 对 其 周围 被 污染 过 的 空 
气 进 行 净化 。 
一 一 《金枝 集 》， 弗 雷 泽 兽 士 
本 章 目标 
学 完 本 章 后 ， 你 应 当 能 够 : 
e 描述 关键 的 安全 需求 : 机 密 性 、 完 整 性 、 可 用 性 、 真 实 性 ， 以 及 可 审计 性 。 
e 给 出 SDN 安全 的 概述 。 
e 给 出 NFV 安全 的 概述 。 
e 给 出 云 安全 的 概述 。 
e 给 出 IoT 安全 的 概述 。 
本 章 介 绍 与 本 书 中 所 讨论 的 主要 网 络 技术 相关 的 安全 问题 ， 首 先 简要 概述 与 任何 网 络 或 
计算 机 环境 都 相关 的 通用 安全 需求 ， 随 后 4 节 分 别 讨论 软件 定义 网 络 、 网 络 功能 虚拟 化 、 云 
和 物 联网 的 安全 问题 。 


16.1 安全 需求 


在 开始 讨论 之 前 ， 列 出 保护 计算 机 和 网 络 数据 及 服 
务 所 需要 的 通用 安全 功能 对 于 本 章 后 面 的 讨论 将 非常 
有 帮助 。 目 前 广泛 接受 的 、 在 大 多 数 环境 下 所 需要 的 5 
个 基本 安全 功能 如 下 所 述 ( 见 图 16-1 ) 。 
e 机 密 性 : 这 一 术语 涵盖 了 以 下 两 个 相关 概念 。 
加 数据 的 机 密 性 : 确保 私有 或 者 机 密 信 息 不 为 
未 授权 的 个 体 可 用 或 者 可 见 。 
BSAA: 确保 个 体能 够 控制 或 者 影响 哪些 与 他 
们 相关 的 信息 能 够 被 收集 和 存储 ， 以 及 这 些 ”图 16-1 网 络 和 计算 机 关键 安全 需求 
信息 可 以 为 哪些 人 可 见 。 
e 完整 性 : 这 一 术语 涵盖 了 以 下 两 个 相关 概念 。 
BMRB: 确保 信息 (无 论 是 存储 的 信息 还 是 传输 过 程 中 的 分 组 ) 和 程序 只 能 够 
以 特定 和 授权 的 方式 修改 。 
BARKS: 确保 系统 以 未 受 损 的 方式 执行 其 预 设 功能 ， 不 会 受到 有 意 或 者 无 意 
的 未 授权 修改 。 
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e 可 用 性 : 确保 系统 工作 正常 ， 不 会 拒绝 授权 用 户 的 服务 请 求 。 
e 真实 性 : 真实 、 可 验证 以 及 可 信 的 属性 ; 信任 一 个 传输 、 一 条 消息 ， 或 者 消息 源 的 
合法 性 。 这 意味 着 验证 用 户 身 份 与 他 们 所 声称 的 相 一 致 并 且 系统 中 的 每 个 输入 均 来 
自 于 可 信 源 。 
可 审计 性 : 这 一 安全 目标 要 求实 体 的 行为 可 以 唯一 地 映射 到 该 实体 ， 从 而 可 以 支持 不 
可 否认 性 、 威 慑 、 故 障 隔离 、 入 侵 检测 和 防护 ， 以 及 行动 后 的 恢复 及 合法 行动 。 由 
于 绝对 安全 的 系统 目前 仍 是 不 可 达 目 标 ， 因 此 必须 要 能 够 将 破坏 安全 性 的 行为 追踪 
到 一 个 需要 负责 的 实体 。 系 统 必须 记录 它们 的 行为 ， 从 而 允许 随后 通过 分 析 来 追踪 
安全 破坏 行为 或 者 为 处 理 交 易 争 端 提供 帮助 。 

在 讨论 SDN, NFV, KAIT 的 特定 安全 需求 时 ， 有 必要 在 脑海 中 要 记 住 这 些 概念 。 
若 需 要 关于 网 络 安全 更 加 深入 的 讨论 ， 请 参考 作者 的 男 一 本 书 一 一 《密码 学 与 网 络 安 全 》 
[STAL 15b]. 


16.2 SDN 安全 

本 节 从 两 个 方面 讨论 SDN 安全 问题 : SON 面临 的 安全 威胁 ， 以 及 利用 SDN 增强 网 络 
安全 性 。 
16.2.1 SDN 安全 威胁 


SDN 与 传统 的 网 络 体系 结构 有 很 大 的 不 同 ， 因 此 可 能 无 法 很 好 地 与 现 有 网 络 安全 方法 
相 匹 配 。SDN 包括 一 个 三 层 体系 结构 (应 用 层 、 控 制 层 、 数 据 层 )， 并 采用 新 的 技术 进行 网 
络 控制 。 所 有 这 些 均 带 来 了 新 的 潜在 攻击 目标 。 

图 16-2 来 自 于 《网 络 世 界 》2014 年 的 一 篇 文章 [HOGG14]， 该 图 展示 了 SDN 体系 结 
构 中 安全 威胁 的 潜在 位 置 。 威 胁 可 能 存在 于 三 层 中 的 任何 位 置 ， 以 及 存在 于 不 同 层 之 间 的 通 
信 中 。 如 该 图 所 示 ， 每 一 层 的 软 硬 件 平 台 均 是 恶意 软件 或 者 人 侵 者 的 潜在 目标 。 此 外 ，SDN 
相关 的 协议 和 应 用 编程 接口 (API) 为 安全 攻击 提供 了 新 的 目标 。 本 节 主 要 讨论 SDN 特有 的 
安全 威胁 。 436 


[了 村 JJ JTL10JTL JDJ Fa 
大 
y 
EITI 控制 平面 
4 4 x 
Pa ae ` 
HAA \ cae 
Crean 
4% =API/ 协 议 攻 击 
Ó = 系统 攻击 
图 16-2 SDN 安全 攻击 表面 
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数据 平面 

数据 平面 最 关键 的 风险 区 域 是 南 向 API， 如 OpenFlow、Open vSwitch 数据 库 管理 协议 
( OVSDB)。 这 一 API 是 管理 数据 平面 网 络 元 素 的 强大 工具 。 该 API 的 引入 使 得 安全 不 再 仅 
仅 限制 在 网 络 设备 供应 商 ， 从 而 显著 增加 了 网 络 基础 设施 的 攻击 表面 (attack surface), Wé% 
的 安全 性 可 能 会 被 不 安全 的 南 向 协议 实现 所 破坏 ， 可 能 会 使 攻击 者 具有 在 流 表 中 增加 他 们 自 
己 的 流 、 进 行 流量 欺骗 等 并 不 被 允许 的 能 力 。 例 如 ， 攻 击 者 可 能 能 够 定义 绕 过 防火 墙 的 流 ， 
从 而 引入 非 期 望 的 流量 或 者 提供 一 种 窃听 手段 等 。 更 一 般 的 情况 是 ， 破 坏 南 向 API 将 能 够 
使 攻击 者 直接 控制 整个 网 络 元 素 。 


攻击 表面 系统 中 可 达 和 可 利用 的 漏洞 。 


增强 安全 性 的 一 种 手段 就 是 使 用 传输 层 安 全 技术 (TLS)， 该 技术 从 早期 的 安全 套 接 字 
层 (SSL) 演化 而 来 。 图 16-3 展示 了 TLS 在 TCP/IP 体系 结构 中 的 位 置 。 在 讨论 这 一 体系 结 
构 之 前 ， 需 要 定义 术语 套 接 字 (socket), BALE, 
套 接 字 是 一 种 在 基于 IP 的 网 络 中 将 数据 与 适当 的 应 
用 相关 联 的 方法 。 主 机 的 了 地 址 与 TCP 或 者 UDP 
端口 号 的 组 合 形成 套 接 字 地 址 。 从 应 用 的 角度 而 
言 ， 套 接 字 接 口 就 是 一 个 API。 套 接 字 接口 是 一 个 
在 UNIX 和 其 他 许多 系统 中 实现 的 通用 通信 编程 接 
口 。 两 个 应 用 可 以 通过 TCP 套 接 字 进 行 通信 ， 其 中 
一 个 应 用 通过 套 接 字 地 址 连接 到 TCP， 并 通过 远 端 
应 用 的 套 接 字 地 址 告诉 TCP 它 希望 通信 的 远 端 应 用 
信息 。 
当 使 用 TLS 时 ， 应 用 系统 具有 一 个 TLS ERF 
地 址 ， 并 与 远程 应 用 系统 的 TLS 套 接 字 进 行 通信 。 
TLS 所 提供 的 安全 功能 对 应 用 系统 和 TCP 均 完全 透 
明 ， 因 此 TCP 和 应 用 系统 均 不 需要 为 使 用 TLS 的 图 16-3 TLS 在 TCP/IP 体系 结构 中 的 角色 
安全 特性 而 进行 修改 。 如 图 16-3 所 示 ，TLS 不 仅 支 持 HTTP， 也 支持 所 有 使 用 TCP 的 应 用 。 
TLS 提供 了 以 下 三 种 类 别 的 安全 。 
e MBE: 两 个 应 用 (如 两 个 HTTP 模块 ) 之 间 交 互 的 所 有 数据 均 进 行 了 加 密 ， 因 此 无 
ERAT o 

。 消息 完整 性 : TLS 能 够 确保 传递 的 消息 不 会 被 修改 或 者 蔡 换 。 

e 鉴别 : TLS 可 以 通过 公 钥 证 书 验 证 一 方 或 者 双方 的 身份 信息 ， 这 有 助 于 阻止 欺骗 性 
的 控制 器 或 者 攻击 者 试图 在 网 络 设备 中 发 起 欺骗 性 的 流 。 

TLS 包括 两 个 阶段 : 握手 与 数据 传输 。 在 握手 阶段 ， 双 方 完成 鉴别 功能 ， 并 协商 一 个 加 
密 密 钥 供 数据 传输 使 用 。 在 数据 传输 阶段 ， 双 方 使 用 加 密 密 钥 来 加 密 所 有 传输 数据 。 

在 写作 本 书 时 OpenFlow 交换 机 规范 的 最 新 版 本 (版 本 1.5.1,2015 Æ 3 月 26 H) 中 指出 : 

“在 数据 路 径 与 OpenFlow 信道 之 间 ， 接 口 是 与 具体 实现 相关 的 ， 但 所 有 的 OpenFlow 信 
道 消息 必须 按照 OpenFlow 交换 机 协议 进行 格式 化 。OpenFlow 信道 通常 采用 TLS 进行 加 密 ， 
但 也 可 以 直接 在 TCP 上 运行 。” 

然而 ， 由 于 无 法 在 未 保证 南 向 通信 信道 (位 于 控制 平面 与 数据 平面 之 间 ) 安全 的 情况 下 
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保证 数据 平面 的 安全 ,仍然 需要 TLS 或 者 其 他 类 似 功能 的 组 件 。 
控制 平面 
在 SDN 中 ， 所 有 的 管理 、 编 排 、 路 由 和 网 络 流量 的 其 他 方面 均 集 中 于 单个 控制 器 或 者 
少数 几 个 分 布 式 的 控制 器 。 如 果 攻 击 者 能 够 成 功 地 渗透 到 控制 器 中 ， 他 就 可 以 获取 对 全 网 的 
一 个 非常 大 的 控制 能 力 。 因 此 ，SDN 控制 器 是 一 个 重要 目标 ， 它 需要 高 等 级 的 保护 。 
对 控制 器 的 保护 涉及 常见 的 计算 机 安全 技术 ， 包 括 如 下 内 容 : 
o 对 分 布 式 拒绝 服务 攻击 (DDoS) 的 防护 / 保护 。 一 个 高 可 用 的 控制 器 体系 结构 可 以 
在 某 种 程度 上 降低 DDoS 攻击 的 影响 ， 而 实现 这 一 目标 的 主要 手段 是 使 用 元 余 控 制 
器 来 补偿 其 他 控制 器 的 失效 。 
e 访问 控制 。 可 以 使 用 许多 标准 化 的 访问 控制 技术 ， 包 括 基 于 角色 的 访问 控制 
(RBAC)、 基 于 属性 的 访问 控制 (ABAC) 等 。 
© 防 病毒 / 防 蠕虫 技术 。 
e 防火 墙 、 人 侵 检测 系统 (IDS) 和 入 侵 防 护 系统 (IPS). 
应 用 平面 
北向 API 和 协议 为 攻击 者 提供 了 一 个 可 能 的 目标 。 这 里 一 次 成 功 的 攻击 可 能 会 使 攻击 者 
获得 对 网 络 基础 设施 的 控制 权 。 因 此 ;本 区 域 的 SDN 安全 关注 于 阻止 未 授权 的 用 户 和 应 用 
使 用 控制 器 。 此 外 ， 应 用 本 身 也 是 一 个 漏洞 。 如 果 攻 击 者 能 够 获取 对 应 用 的 控制 权 ， 且 该 应 
用 随后 通过 了 控制 平面 的 鉴别 ， 则 攻击 者 可 以 造成 的 破坏 程度 将 非常 可 观 ， 因 为 一 个 通过 鉴 
别 、 具 有 广泛 权限 的 应 用 系统 可 以 执行 许多 控制 指令 来 配置 和 操作 网 络 。 
可 以 通过 两 方面 的 工作 来 反击 上 述 威胁 : 通过 一 些 机 制 来 鉴别 应 用 系统 对 控制 平面 的 访 
问 权 限 ， 以 及 防止 通过 鉴别 的 应 用 系统 被 黑客 攻陷 。 鉴 别 过 程 包括 应 用 系统 和 控制 器 之 间 的 
通信 ， 为 了 对 抗 这 一 鉴别 过 程 中 的 威胁 ， 需 要 通过 TLS 或 者 类 似 的 功能 确保 通信 的 安全 性 。 
为 了 保护 应 用 系统 ， 需 要 对 其 进行 安全 编程 ， 并 防止 应 用 平台 被 黑客 攻击 。 


16.2.2 ”软件 定义 安全 


尽管 SDN 为 网 络 设计 者 和 管理 员 带 来 了 新 的 安全 挑战 ， 它 同样 提供 了 一 个 平台 ， 用 于 
为 网 络 实现 一 致 、 集 中 控制 的 安全 策略 和 机 制 。SDN 支持 开发 能 够 提供 和 编排 安全 服务 与 
机 制 的 SDN 安全 控制 器 和 SDN 安全 应 用 。 

对 安全 管理 而 言 ， 安 全 控制 器 需要 为 相关 应 用 提供 一 个 安全 API。 例 如 ， 当 应 用 创建 虚 
拟 机 (YM) 和 配置 流量 路 径 时 ， 它 需要 能 够 将 这 些 虚拟 组 件 与 适当 的 安全 功能 相关 联 ， 如 
IDS、IPS， 以 及 安全 信息 和 事件 管理 (SIEM). 

事实 上 ， 安 全 需求 可 能 会 成 为 部 署 SDN 时 的 一 个 关键 推动 因素 。 一 方面 ， 一 些 新 的 关 
键 网 络 发 展 趋势 为 系统 和 网 络 管理 员 带 来 了 不 断 增加 的 负担 ， 包 括 如 下 内 容 : 

e 网 络 流量 规模 的 增加 

o 虚拟 机 在 服务 器 、 存 储 设备 和 网 络 设备 中 的 应 用 

e 云 计算 

o 数据 中 心 在 规模 和 复杂 性 方面 的 增加 

e IoT 应 用 的 增加 

另 一 方面 ， 恶 意 软 件 的 敏捷 性 和 复杂 性 都 在 不 断 增 加 ， 导 致 IT 人力 资源 成 为 一 个 主要 
的 安全 瓶颈 。 相 对 于 事故 和 告警 ， 安 全 管理 员 总 是 慢 半 拍 ， 以 及 因此 所 需要 的 细 粒 度 安 全 控 
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制 。SDN 使 安全 管理 员 能 够 通过 智能 事故 检测 和 自动 化 响应 机 制 解决 上 述 问题 。 

使 用 具有 SDN 功能 的 自动 化 工具 本 身 就 具有 一 些 优 点 ， 且 该 优点 又 通过 SDN 具有 的 细 
粒度 响应 能 力 得 到 了 放大 ， 包括 逐 流 、 逐 应 用 和 逐 用 户 。 大 量 的 安全 应 用 已 经 开发 出 来 ， 另 
有 更 多 的 安全 应 用 还 在 开发 过 程 中 。 第 6 章 所 描述 的 OpenDaylight DDoS 应 用 就 是 一 个 典型 
代表 。 


16.3 NFV 安全 


NFV 极 大 地 改变 了 网 络 的 设计 、 构 建 和 管理 的 方法 。NFV 将 网 络 功能 和 网 络 相关 的 功 
能 从 专用 的 硬件 设备 中 移植 出 来 ， 并 将 其 以 虚拟 机 的 形式 放置 在 可 以 在 物理 网 络 环境 中 按 需 
部 署 的 通用 服务 器 中 。NFV 面临 的 安全 挑战 在 于 它 增加 了 攻击 表面 和 安全 防护 的 复杂 性 。 


16.3.1 攻击 表面 

为 了 理解 这 一 挑战 ， 请 考虑 图 16-4。 在 图 7-8 的 基础 上 ， 该 图 标注 了 Nakina 系统 的 一 
份 白皮书 中 所 提 及 的 潜在 攻击 表面 [NAKI15]。 与 传统 基于 硬件 设备 的 网 络 不 同 ，NFYV 模糊 
了 不 同 物理 网 络 功 能 之 间 的 明确 界限 ， 从 而 使 得 定义 和 管理 安全 角色 、 职 责 以 及 权限 等 级 变 
得 更 加 复杂 。 
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安全 防护 需要 解决 多 个 层面 、 多 个 域 以 及 它们 之 间 的 交互 问题 ， 包 括 如 下 内 容 。 

o NFV 基础 设施 (NFVI): 这 是 由 底层 网 络 、 计 算 和 存储 系统 所 组 成 的 域 ， 支 持 虚 拟 化 

计算 和 存储 及 虚拟 网 络 。 

e 虚拟 网 络 功能 (VNF): 在 NFVI 虚拟 机 上 运行 的 网 络 功能 。 

e MANO 与 OSS/BSS : 用 户 使 用 NFV 管理 和 编排 (MANO) 功能 以 及 OSS/BSS 功能 

来 管理 网 络 、 编 排 资源 。 

。 管理 接口 : 在 一 个 NFV 部 署 方案 中 主要 域 之 间 的 重要 接口 。 

系统 管理 中 一 个 主要 的 安全 考虑 就 是 控制 哪些 用 户 或 系统 能 够 观察 、 设 置 或 改变 配置 参 
数 及 实施 网 络 策略 。 鉴 于 NFVI A VNF 之 间 的 相互 依赖 ， 以 及 整体 的 服务 性 能 和 可 用 性 要 
求 ， 上 述 安全 性 考虑 尤为 重要 。 此 外 ， 当 多 个 自动 化 的 软件 系统 访问 同一 个 网 络 资源 共享 池 
时 ， 确 保安 全 许可 与 策略 不 相互 冲突 也 非常 重要 。 软 件 化 的 配置 过 程 会 导致 编排 漏洞 ， 包 括 
网 络 配置 滥用 和 恶意 配置 。 

图 16-4 从 逻辑 视图 描述 了 湾 在 的 NEV 攻击 表面 ， 除 此 之 外 ， 也 可 以 从 物理 视图 和 软件 
视图 的 角度 进行 描述 。 我 们 尤其 关注 软 硬 件 的 不 同等 级 ， 以 及 哪些 实体 处 于 控制 中 并 负责 不 
同等 级 中 的 不 同 元 素 。 表 16-1 重复 了 第 7 章 中 的 表 7-4， 并 总 结 了 不 同 的 部 署 场景 ， 包 括 物 
理 位 置 (建筑 物 )、 服 务 器 硬件 、 虚 拟 化 软件 和 VNE 等 。 图 16-5 描述 了 这 些 关 键 元 素 。 

表 16-1 NFV 部 署 场景 


部 署 场景 客户 VNF 
整体 运营 商 N N 
托管 虚拟 网 络 运营 商 的 网 络 运营 商 N, NI, N2 
托管 的 网 络 运营 商 | | a | {=m |n 
托管 的 通信 提供 商 Er ET TH Pe ee map 
托管 的 通信 和 应 用 提供 商 a ,| me Evi La ~ ll, WRB 
位 于 用 户 场所 中 的 托管 网 络 服务 | c | N | N [ON 


位 于 用 户 设备 上 的 托管 网 络 服务 N 


HA: 不 同 的 字母 代表 不 同 的 公司 或 者 组 织 ， 并 用 来 描述 不 同 的 角色 (例如 ,， 吾 = 托管 服务 提供 商 ，N = 网 络 运 
营 商 ，P= 公 共 ，C = 客户 )。 带 编号 的 网 络 运营 商 (NI、N2 等 ) 代表 多 个 不 同 的 被 托管 网 络 运营 商 。 


虚拟 机 管理 程序 


ai 





图 16-5 NFV 部 署 场景 元 素 
图 16-5 中 所 描述 的 每 一 层次 (外 部 建筑 物 、 主 机 硬件 、 虚 拟 机 管理 程序 、VNEF) 均 是 ici 


一 个 潜在 的 攻击 表面 。 但 设计 足够 完善 的 安全 机 制 和 策略 的 复杂 性 在 于 不 同 的 组 织 可 能 会 在 ”L443 
多 个 层次 运行 ， 因 此 ， 安 全 需求 需要 将 此 考虑 在 内 。 进 一 步 来 说 ， 如 果 多 方 共享 使 用 底层 资 
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源 ， 则 需要 设计 合适 的 保护 测量 机 制 。 例 如 ,来自 于 不 同 用 户 的 多 个 VNF 在 同一 个 物理 服 
务 器 上 运行 ， 并 使 用 同一 个 虚拟 机 管理 程序 ， 则 在 设计 时 需要 考虑 将 分 配给 不 同 用 户 的 资源 
(如 主 存储 空间 、 辅 助 存 储 空 间 、LIO 端口 等 ) 进行 隔离 。 


16.3.2 ETSI 安全 视角 


欧洲 电信 标准 化 组 织 (ETSI) 是 设计 NFV 标准 的 领导 组 织 ， 他 们 发 布 了 4 个 安全 相关 
的 文档 ， 作 为 其 标准 系列 的 一 部 分 。ETSI 定 义 的 每 一 个 文档 的 应 用 范围 和 领域 如 下 所 述 。 

e NFV 安全 ; 问题 描述 ( NFV-SEC 001): 定义 NFV 以 理解 其 安全 影响 。 提 供 一 个 部 
署 场景 的 参考 列表 。 识 别 NFV 所 导致 的 新 的 安全 漏洞 。 

o NFV 安全 ; 对 NFV 相关 管理 软件 的 安全 特征 进行 分 类 ( NFV-SEC 002): 目标 在 于 
对 NFV 相关 的 管理 软件 的 安全 特征 进行 分 类 ， 并 将 OpenStack 作为 一 个 例子 进行 讨 
论 。 初 始 的 交付 成 果 是 对 OpenStack 中 提供 安全 服务 (如 鉴别 、 授 权 、 机 密 性 EH 
性 保护 、 日 志和 审计 等 ) 的 模块 进行 的 分 类 ， 并 通过 图 形 描述 它们 对 底层 实现 密码 协 
议 与 算法 模块 的 对 应 依赖 性 。 一 旦 建立 相应 的 依赖 关系 图 ， 就 可 以 给 出 适合 NFV 部 
署 的 推荐 选项 。 

e NFV 安全 ; 安全 和 可 信 指 导 (NFV-SEC 003): 定义 特定 的 研究 领域 ， 在 其 中 安全 
和 可 信 技 术 、 实 践 及 过 程 均 与 非 NFV 系统 和 操作 具有 完全 不 同 的 需求 。 为 设计 支持 
和 互联 NFV 系统 的 环境 提供 指导 ， 但 避免 重新 定义 任何 非 NFV 特有 的 安全 考虑 。 

e NFV 安全 ; 隐私 与 法 规 ; 关于 合法 侦 听 (Lawful Interception, LI) 启示 的 报告 (NFV- 
SEC 004): 识别 那些 必须 提供 的 能 力 以 支持 LI， 并 给 出 在 NFV 中 提供 LI 所 面临 的 


挑战 。 
ETSI 文档 对 包含 VNF 的 网 络 所 面临 的 全 部 安全 虚拟 机 管理 程序 
Ta 威胁 集合 进行 了 分 类 ， 图 16-6 给 出 了 分 类 的 详细 情 。 ' 减轻 的 威胁 







况 ， 随 后 我 们 将 对 其 进行 讨论 。 ee 

。 通用 虚拟 化 威胁 : 任何 虚拟 化 实现 均 面 临 的 威 ” l @ 
胁 ， 如 隔离 用 户 失败 。 carn Ropers 

e 通用 网 络 威胁 : 与 虚拟 化 之 前 的 物理 网 络 功能 
相关 的 威胁 ， 如 DDoS 、 防 火 墙 缺口 或 绕 过 等 。 

。 NFV 特有 威胁 : 将 虚拟 化 技术 与 网 络 技术 相 结 
合 所 带 来 的 威胁 。 

NFV 特有 威胁 的 例子 包括 如 下 一 些 ; 

o 使 用 虚拟 机 管理 程序 可 能 会 带 来 额外 的 安全 漏洞 。 对 虚拟 机 管理 程序 的 第 三 方 认证 
能 够 帮助 揭示 这 些 安全 属性 。 一般 来 说 ， 为 了 减少 所 使 用 虚拟 机 管理 程序 的 漏洞 ， 
需要 遵循 最 好 的 加 固 和 补丁 管理 实践 。 为 了 确保 执行 了 正确 的 虚拟 机 管理 程序 ， 在 
启动 时 通过 安全 启动 机 制 调 用 鉴别 虚拟 机 管理 程序 的 方法 。 

o 共享 存储 和 共享 网 络 的 使 用 同样 增加 了 额外 的 漏洞 。 

© 不 同 NFV 端 到 端 体 系 结构 组 件 (例如 硬件 资源 、VNF 和 管理 系统 ) 的 互联 暴露 了 新 
的 接口 ， 若 未 能 将 这 些 接口 保护 起 来 ， 将 会 带 来 新 的 安全 威胁 。 

© 多 种 VNF 在 NFV 基础 设施 上 执行 同样 带 来 了 额外 的 安全 问题 ， 尤 其 是 在 VNF 未 能 

445 正确 相互 隔离 的 情况 下 。 


图 16-6 NFV 网 络 环境 中 威胁 的 分 类 
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ETSI 同样 观察 到 ， 通 过 使 用 虚拟 机 管理 程序 内 省 (hypervisor introspection) 和 其 他 一 
些 机 制 ， 虚 拟 化 可 以 消除 或 缓解 那些 非 虚拟 化 网 络 功能 中 固有 的 威胁 。 虚 拟 机 管理 程序 内 省 
已 经 成 为 虚拟 化 环境 中 的 通用 安全 技术 ， 虚 拟 机 管理 程序 内 省 可 以 帮助 检测 对 虚拟 机 和 客户 
操作 系统 的 攻击 ， 其 至 在 客户 操作 系统 被 自 改 的 情况 下 也 能 够 完成 上 述 功能 。 内 省 是 通过 监 
测 内 存 、 程 序 执行 、 对 数据 文件 的 访问 以 及 网 络 流 量 等 实现 。 特 别 的 是 ， 该 机 制 还 能 够 阻止 
内 核 级 的 rootkit (KLR), 


虚拟 机 管理 程序 内 省 为 了 安全 起 见 ， 虚拟 机 管理 程序 管理 程序 能 够 监视 每 个 正在 运 
行 的 客户 机 操作 系统 和 虚拟 机 。 


16.3.3 ”安全 技术 


Hawilo 在 一 篇 论文 中 对 NFV 安全 问题 给 出 了 不 同 的 看 法 [HAWI14]， 分 析 该 看 法 有 助 
于 我 们 进一步 理解 这 一 问题 。 该 论文 将 NFV 环境 划分 为 三 个 功能 域 ， 并 具体 说 明 每 个 功能 
域 面 临 的 安全 威胁 及 可 能 解决 方案 ， 具 体 如 表 16-2 所 示 。 

#16-2 NFV 安全 风险 


安全 风险 
未 授权 访问 、 数 据 泄露 















解决 方案 和 要 求 
隔离 VM 空间 ， 只 对 通过 鉴别 的 控件 提供 访问 
安全 线程 。 
私有 和 共享 的 内 存 分 配 在 重新 分 配 之 前 需要 进 
共享 的 计算 资源 (CPU、 内 存 等 ) | 行 数据 清除 。 


数据 应 当 以 加 密 的 方式 使 用 和 存储 ， 只 为 VNF 
共享 的 逻辑 网 络 层 (vSwitch ) 
共享 的 物理 网 卡 (NIC) 














虚拟 化 环境 域 虚拟 机 管理 程序 


计算 域 





提供 专 有 访问 
使 用 安全 网 络 技术 (TLS. IPsec 和 SSH) 










16.4 云 安全 
目前 有 大 量 关 于 云 安全 的 讨论 ， 以 及 大 量 提供 云 安全 测量 的 方法 。 关 于 云 安全 涉及 的 
内 容 和 问题 范围 可 以 参考 NIST 云 安全 指导 原则 ， 该 原则 在 SP-800-144(《 公 有 云 计 算 中 的 
安全 和 隐私 指导 原则 》( 2011 年 12 月 )) 中 进行 明确 ， 表 16-3 对 其 进行 了 列举 。 因 此 对 云 安 
全 进行 完整 的 讨论 超出 了 本 章 的 范围 ， 本 节 只 讨论 与 本 书 的 目标 相关 的 一 些 重要 的 云 安全 
话题 。 
表 16-3 NIST 云 安 全 和 隐私 问题 及 推荐 指导 原则 


云 安全 特征 指导 原则 
扩展 用 于 在 云 中 进行 应 用 开发 和 服务 提供 有 关 的 政策 、 流 程 和 标准 的 组 织 实践 ， 以 及 对 部 署 和 
治理 约定 的 服务 进行 设计 、 实 现 、 测 试 、 使 用 和 监测 。 


实施 审计 机 制 和 工具 来 确保 在 整个 系统 的 生命 周期 中 均 遵循 组 织 实践 

了 解 各 种 类 型 的 法 律 、 法 规 ， 安 全 和 隐私 的 义务 强加 于 云 计 算计 划 组 织 和 潜在 的 影响 ， 特 别 是 
那些 涉及 数据 位 置 、 隐 私 和 安全 控制 、 记 录 管 理 和 电子 发 现 需求 的 部 分 。 

审查 和 评估 云 提供 商 的 产品 对 组 织 需求 的 满足 情况 ， 并 确保 合同 条 款 能 够 充分 满足 要 求 。 

确保 云 提供 商 的 电子 发 现 功能 和 流程 不 违背 数据 和 应 用 程序 的 隐私 和 安全 要 求 

确保 服务 安排 有 足够 的 手段 ， 让 可 视 性 进入 云 提 供 商 的 安全 和 隐私 控制 与 过 程 ， 以 及 他 们 的 性 
信任 能 随 着 时 间 的 推移 情况 。 

对 数据 建立 明确 、 专 有 的 所 有 权 
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(8) 
云 安全 特征 指导 原则 
建立 一 个 风险 管理 程序 ， 它 具有 足够 的 灵活 性 ,以 适应 在 系统 的 生命 周期 中 不 断 演化 和 改变 的 
信任 风险 状况 。 
持续 监控 信息 系统 的 安全 状态 ， 以 支持 正在 进行 的 风险 管理 决策 
理解 云 服 务 商 用 来 提供 服务 的 底层 技术 ,包括 在 整个 系统 的 生命 周期 和 所 有 系统 组 件 中 ， 所 涉 


及 的 技术 控制 对 系统 安全 性 和 隐私 的 影响 
身份 和 访问 控制 确保 具有 足够 的 保障 措施 ， 以 保证 身份 鉴别 、 授 权 和 其 他 身份 与 访问 管理 功能 的 安全 性 ， 并 这 
些 保障 措施 能 够 适合 该 组 织 
理解 云 服务 商 在 其 多 租户 软件 体系 结构 中 采用 的 虚拟 化 和 其 他 逻辑 隔离 技术 ,并 评估 对 组 织带 
软件 隔离 来 的 风险 
评估 云 服 务 商 为 组 织 感 兴趣 的 数据 所 提供 的 数据 管理 解决 方案 的 适宜 性 ， 以 及 控制 数据 访问 ， 
增强 静止 、 传 输 和 使 用 中 数据 的 安全 性 和 净化 数据 的 能 力 。 
考虑 在 与 其 他 高 威胁 性 或 者 数据 具有 显著 集中 值 的 机 构 协 作 进 行 整 理 组 织 数据 时 所 带 来 的 
数据 保护 风险 。 
充分 理解 和 权衡 加 密 密 钥 管理 所 涉及 的 风险 ， 这 一 过 程 中 用 到 了 云 环 境 中 提供 的 基础 设施 和 云 
提供 商 建立 的 基本 过 程 
理解 可 用 性 、 数 据 备份 和 恢复 ， 以 及 灾难 恢复 相关 的 合同 条 款 和 程序 ， 并 确保 它们 符合 组 织 的 
可 用 性 不 间断 性 和 应 急 计 划 要 求 。 
确保 在 发 生 短暂 或 长 期 中 断 或 严重 灾难 时 ， 关 键 操作 可 以 立即 恢复 ， 并 且 所 有 的 操作 都 可 以 通 
过 及 时 和 有 组 织 的 方式 最 终 恢 复 
理解 事故 响应 的 合同 规定 和 程序 ， 确 保 它们 满足 组 织 的 要 求 。 
ses 确保 云 服 务 提 供 商 有 透明 的 响应 过 程 ， 并 有 足够 的 机 制 在 事故 中 和 事故 后 共享 信息 。 


确保 组 织 可 以 与 云 服务 提供 商 根据 他 们 在 计算 环境 中 各 自 的 角色 和 责任 ， 以 相互 协调 的 方式 对 
事故 进行 响应 


本 节 首 先 概述 云 安全 的 主要 问题 和 关注 点 ， 然 后 讨论 特定 的 云 安全 风险 以 及 相应 的 处 理 
方法 ， 在 随后 的 话题 中 处 理 一 个 非常 重要 的 云 安全 问题 : 保护 存储 在 云 中 的 数据 。 之 后 再 
次 介绍 云 安全 即 服 务 的 概念 ， 最 后 一 小 节 分 析 与 云 安全 相关 的 技术 、 操 作 以 及 管理 控制 功 
能 等 。 


16.4.1 安全 问题 和 关注 点 


安全 对 于 任何 计算 基础 设施 都 至 关 重 要 。 公 司 竭尽 全 力 来 确保 本 地 计算 系统 的 安全 人 性 ， 
因此 当 通 过 云 服务 扩充 或 者 替代 本 地 系统 时 ， 将 安全 性 作为 一 个 主要 的 关注 点 并 不 奇怪 。 组 
解 安全 问题 经 常 被 作为 迁移 一 个 组 织 的 部 分 或 者 全 部 计算 体系 结构 到 云 中 的 先决 条 件 。 可 用 
性 是 男 一 个 主要 关注 点 :“ 当 我 们 无 法 访问 因特网 时 将 如 何 操 作 ? 如 果 我 们 的 客户 无 法 访问 
云 来 下 订单 怎么 办 ? ”都 是 些 常 见 问题 。 

一 般 而 言 ， 仅 当 企 业 打 算 将 核心 业务 处 理 过 程 (如 企业 资源 规划 系统 ERP) 或 者 其 他 主 
要 的 应 用 迁移 到 云 上 时 才 会 提出 这 些 问题 。 对 于 迁移 一 些 诸如 电子 邮件 和 工资 系统 等 高 维护 
性 的 应 用 到 云 服务 提供 商 时 ， 尽 管 这 些 应 用 也 有 很 多 敏感 信息 ， 但 企业 通常 并 不 特别 关心 安 
全 性 问题 。 

对 于 很 多 组 织 而 言 ， 可 审计 性 是 男 一 个 关注 点 ， 尤 其 是 那些 必须 遵从 萨 班 斯 法 案 或 卫 
生 和 人 类 服务 健康 保险 便携 性 与 责任 法 案 (HIPAA) 条 例 的 组 织 。 无 论 是 存储 在 本 地 或 者 云 
端 ， 他 们 的 数据 的 可 审计 性 都 必须 得 到 保证 。 

在 将 关键 基础 设施 迁移 到 云端 之 前 ， 企 业 应 从 云 内 部 和 外 部 两 方面 进行 安全 威胁 调查 。 
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许多 与 保护 云 免 受 外 部 威胁 相关 的 安全 问题 与 传统 的 集中 式 数据 中 心 所 面临 的 问题 非常 类 
似 。 然 而 在 云 中 ,确保 足够 的 安全 性 的 责任 通常 在 多 方 之 间 共 享 ， 包括 用 户 、 厂 商 以 及 用 户 
在 安全 敏感 软件 和 配置 中 所 依赖 的 第 三 方 公司 等 。 云 用 户 负 责 应 用 层 安 全 ， 云 厂商 负责 物理 
安全 和 确保 外 部 防火 墙 策 略 等 一 些 软 件 安 全 ， 而 软件 栈 的 中 间 层 次 安全 则 由 用 户 和 厂商 所 
LE, 

对 于 一 个 公司 而 言 ， 在 将 服务 迁移 到 云 设 施 的 过 程 中 一 个 容易 忽视 的 安全 风险 就 来 自 于 
与 其 他 云 用 户 共享 云 提供 商 的 资源 。 云 提供 商 必 须 确保 能 够 抵御 来 自 于 其 他 用 户 的 数据 窃取 
和 拒绝 服务 攻击 等 行为 ， 且 需要 保证 用 户 之 间 的 相互 隔离 。 虚 拟 化 是 解决 上 述 风 险 的 一 个 有 
效 机 制 ， 它 可 以 抵御 用 户 对 其 他 用 户 或 者 基础 设施 的 大 多 数 攻击 行为 。 然 而 ， 并 非 所 有 的 资 
源 都 被 虚拟 化 了 ， 而 且 并 非 所 有 的 虚拟 化 环境 都 是 无 漏洞 的 。 错 误 的 虚拟 化 机 制 可 能 允许 用 
户 代码 访问 提供 商 基 础 设施 的 敏感 部 分 或 者 访问 其 他 用 户 的 资源 。 必 须要 强调 的 是 ， 这 些 安 
全 问题 并 非 云 计算 所 独 有 ， 而 是 与 在 管理 其 他 非 云 计算 环境 的 数据 中 心 过 程 中 所 面临 的 问题 
非常 类 似 。 在 那些 场景 中 ， 同 样 需要 将 不 同 的 应 用 进行 隔离 保护 。 

云 企业 需要 考虑 的 另 一 个 安全 关注 点 就 是 客户 被 提供 商 所 保护 的 程度 ， 尤 其 是 在 意外 数 
据 丢 失 等 特殊 场景 下 的 情况 。 例 如 ， 当 提供 商 升 级 其 基础 设施 时 ， 那 些 被 替换 掉 的 硬件 是 
如 何 处 理 的 ? 显然 ， 如 果 不 能 够 正确 地 氛 除 客户 的 数据 ， 将 会 直接 导致 用 户 数据 的 泄漏 。 同 
样 ， 许 可 策略 的 漏洞 也 会 导致 客户 的 数据 被 那些 非 授权 的 用 户 所 访问 。 对 客户 而 言 ， 用 户 层 
面 的 加 密 是 一 个 主要 的 自 保 机 制 ， 但 云 企业 同样 需要 确保 有 其 他 保护 机 制 来 避免 出 现 意外 的 
数据 丢失 。 


16.4.2 云 安全 风险 和 对 策 


一 般 而 言 ， 云 计算 中 的 安全 控制 类 似 于 其 他 任何 IT 环境 中 的 安全 控制 。 然 而 ， 由 于 在 
构建 云 服 务 中 所 使 用 的 操作 模型 和 技术 ， 云 计算 可 能 会 形成 一 些 云 环 境 所 特有 的 风险 。 一 个 
关键 概念 就 是 企业 丧失 了 对 资源 、 服 务 以 及 应 用 的 大 部 分 控制 ， 但 同时 还 需要 为 安全 和 隐私 
策略 维护 可 审计 性 。 

在 2013 年 的 一 个 报告 中 (《 著 名 的 九 大 云 计算 顶级 威胁 》)， 云 安全 联盟 [CSA13] 列举 
了 如 下 一 些 云 计算 所 特有 的 顶级 安全 威胁 。 

ec 云 计 算 的 混用 和 恶意 使 用 : 对 于 大 多 数 云 提 供 商 (CP) 而 言 ， 注 册 和 使 用 其 所 提供 的 
云 服务 都 非常 简单 ， 有 些 云 提供 商 甚至 提供 免费 的 有 限 试用 期 。 这 使 得 攻击 者 可 以 
进入 云 内 部 来 实施 多 种 攻击 ， 如 垃圾 邮件 、 恶 意 代码 攻击 、 拒 绝 服 务 攻 击 等 。 传 统 
情况 下 ,平台 即 服务 (Paas) 的 提供 商 遭 受 这 类 攻击 行为 最 为 普遍 ， 然 而 近年 来 的 证 
据 显 示 黑 客 同样 将 基础 设施 即 服务 (aas) 提供 商 作为 其 攻击 目标 。 防 护 这 些 攻 击 的 
责任 主要 在 于 云 提供 商 , 但 云 服 务 的 客户 方 同样 需要 监测 与 他 们 的 数据 和 资源 相关 
的 行为 ， 以 便 检测 出 那些 恶意 行为 。 

对 策 包 括 : (1 ) 严格 的 初始 化 注册 和 验证 过 程 ; (2 ) 强化 信用 卡 诈骗 行为 的 监 
测 和 协调 ; (3 ) 对 客户 的 网 络 流量 进行 深入 的 检查 ;( 4 ) 为 自己 的 网 络 地 址 块 监测 
公共 黑 名 单 。 

不 安全 的 接口 和 API: CP 为 用 户 提 供 一 组 软件 接口 和 API， 以 方便 他 们 对 云 服务 进 
行 管理 和 交互 。 云 服务 的 安全 性 和 可 用 性 取决 于 这 些 基 础 API 的 安全 性 。 从 鉴别 、 
访问 控制 、 直 至 加 密 和 行为 监控 ， 这 些 接 口 必须 能 够 防护 那些 企图 绕 过 安全 策略 的 
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偶然 或 者 恶意 行为 。 

对 策 包 括 : (1) 分 析 CP 接口 的 安全 模型 ; (2) 确保 在 实现 加 密 传输 的 同时 ， 还 
实现 了 强 鉴 别 和 访问 控制 机 制 ; (3 ) 理解 这 些 API 之 间 的 依赖 链 。 
恶意 的 内 部 人 员 : 在 云 计 算 模 式 下 ， 机 构 交 出 了 许多 安全 方面 的 直接 控制 权 ， 并 赋 
F CP 前 所 未 有 的 信任 度 。 在 此 情况 下 ， 一 个 重要 的 关注 点 就 是 恶意 内 部 人 员 行 为 所 
带 来 的 安全 威胁 。 云 体系 结构 使 得 特定 的 角色 具有 很 高 的 安全 风险 ， 如 CP 系统 管理 
员 、 受 控 安全 服务 提供 商 等 。 

XJR: 强化 严格 的 供应 链 管理 ， 进 行 全 面 的 供应 商 评估 ; (2 ) 将 对 人 力 资 源 的 
要 求 作 为 法 律 合同 的 一 部 分 ; ( 3 ) 要 求 整体 信息 安全 和 管理 实践 过 程 中 的 透明 性 (并 
提供 遵循 性 报告 ); (4) 建立 安全 漏洞 通知 流程 。 
共享 技术 问题 : 通过 共享 基础 设施 ，Iaag 提供 商 以 可 扩展 的 方式 分 发 其 服务 。 通 常 ， 
组 成 这 一 基础 设施 的 底层 组 件 ( CPU 缓存 、GPU 等 ) 并 不 具有 为 多 租户 体系 结构 所 
特殊 设计 的 强 隔离 性 等 属性 。CP 通常 通过 为 不 同 的 客户 提供 相互 隔离 的 虚拟 机 来 化 
解 这 一 安全 威胁 。 然 而 ， 无 论 对 于 外 部 威胁 或 者 内 部 威胁 ， 这 一 方法 均 存 在 着 脆弱 
性 ， 因 此 只 能 作为 整个 安全 策略 解决 方案 的 一 部 分 。 

对 策 : (1 ) 为 安装 /配置 建立 最 佳 安全 实践 ; (2 ) 为 非 授 权 的 改变 /行为 提供 环 
境 监 测 能 力 ; (3) 针对 管理 性 的 访问 和 操作 升级 强 审计 和 访问 控制 机 制 ; (4 ) 为 打 
补丁 和 脐 弱 性 修复 强化 服务 等 级 约定 (SLA); (5) 进行 脆弱 性 扫描 和 配置 审计 。 
数据 丢失 或 泄漏 : 对 于 许多 客户 而 言 ， 安 全 漏洞 所 带 来 的 最 具 破 坏 性 的 影响 就 是 数 
据 的 丢失 或 者 泄漏 。 我 们 将 在 下 一 节 解 决 这 一 问题 。 

对 策 包括 : (1) 实现 强 API 访问 控制 ; (2 ) 加 密 和 保护 传输 中 及 静止 状态 数据 
的 完整 性 ; (3 ) 在 设计 和 运行 时 分 析 数 据 保 护 效 果 ; (4) 实现 强 密 钥 生 成 、 存 储 和 
管理 ， 以 及 销毁 操作 等 。 
账号 或 者 服务 劫持 : 账号 和 服务 劫持 通常 发 生 在 证 书 被 盗 时 ， 是 一 个 非常 严重 的 威 
胁 。 通 过 使 用 盗用 的 证 书 ， 攻 击 者 通常 能 够 访问 所 部 署 云 计算 服务 的 关键 区 域 ， 允 
许 他 们 破坏 这 些 服务 的 机 密 性 、 完 整 性 和 可 用 性 。 

对 策 : (1 ) 阻止 账号 证 书 在 不 同 用 户 和 服务 间 共 享 ; (2 ) 在 可 能 的 情况 下 使 用 
强 的 两 因素 认证 技术 ; (3 ) 通过 主动 监测 来 检测 非 授权 的 行为 :( 4 ) 理解 CP 的 安全 
策略 和 SLA, 
未 知 风险 : 在 使 用 云 基础 设施 过 程 中 ， 客 户 需 要 将 许多 可 能 影响 安全 性 问题 的 控制 权 
交 给 云 提供 商 ， 因 此 客户 必须 关注 和 明确 定义 风险 管理 过 程 中 的 角色 和 职责 。 例 如 ， 
雇员 可 能 在 未 遵守 正常 的 隐私 、 安 全 和 监督 策略 和 规章 的 情况 下 在 CP 部 署 应 用 和 数 
据 资源 。 

对 策 : (1) 公开 适当 的 日 志和 数据 ; (2) 部 分 /完全 公开 基础 设施 的 细节 (如 补 
丁 层次 和 防火 墙 等 ); (3 ) 对 特定 的 信息 进行 监测 和 告警 。 


针对 云 计 算 的 安全 性 问题 ， 欧 洲 网 络 与 信息 安全 局 以 及 NIST 都 给 出 了 相似 的 条 目 。 


16.4.3 云 中 的 数据 保护 


破坏 数据 的 方式 多 种 多 样 ， 其 中 一 个 典型 的 例子 就 是 在 没有 对 原始 内 容 进 行 备份 的 情况 
下 删除 或 者 更 改 一 条 记录 。 断 开 一 条 记录 与 某 个 语 境 的 连接 将 使 其 变 得 不 可 恢复 ， 当 采用 不 
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可 靠 存储 介质 时 这 种 情况 就 有 可 能 发 生 。 编 码 密 钥 的 丢失 可 能 会 导致 数据 不 再 有 效 。 最 后 ， 
必须 阻止 非 授 权 方 获取 对 敏感 数据 的 访问 。 

由 于 大 量 的 安全 风险 和 挑战 ， 在 云 计算 环境 中 数据 破坏 的 威胁 程度 变 得 更 加 严重 。 鉴 于 
云 计 算 环 境 的 体系 结构 和 操作 特性 ， 这 些 风 险 和 挑战 有 的 为 云 计算 环境 所 独 有 ， 另 一 些 则 在 
云 计算 环境 中 更 加 危险 。 

云 计算 中 使 用 的 数据 库 环境 具有 非常 大 的 差异 性 。 一 些 提 供 商 支持 多 实例 模型 ， 该 模型 
在 每 个 去 用 户 的 虚拟 机 上 运行 一 个 独立 的 DBMS， 从 而 使 得 用 户 可 以 完全 控制 角色 定义 、 用 
户 授权 以 及 其 他 安全 性 相关 的 管理 任务 。 其 他 一 些 提供 商 支 持 多 租户 模型 ， 该 模型 为 云 用 户 
提供 一 个 预先 定义 的 环境 ， 且 与 其 他 租户 共享 ， 通 常 利用 客户 的 标识 为 数据 打 标 签 来 区 分 不 
同 用 户 的 数据 。 标 签 机 制 能 够 支持 相应 实例 的 排他 性 使 用 ， 但 这 一 目标 取决 于 云 提供 商 建立 
和 维护 一 个 有 效 的 安全 数据 库 环境 。 

数据 必须 在 存储 、 传 输 和 使 用 过 程 中 得 到 保护 ， 并 且 必 须 控 制 对 数据 的 访问 。 客 户 端 可 
以 采用 加 密 的 方式 来 保护 传输 中 的 数据 ， 尽 管 这 一 方式 涉及 CP 的 密 钥 管理 责任 。 客 户 端 可 
以 强制 采用 访问 控制 技术 ,但 根据 所 采用 的 服务 模型 ， 同 样 又 需要 CP 不 同 程度 的 参与 。 

对 于 存储 中 的 数据 ， 理 想 的 安全 手段 就 是 客户 端 加 密 数据 库 ， 并 且 只 在 云 中 存储 加 密 
过 的 数据 ， 且 CP 无 法 接触 数据 的 加 密 密 钥 。 只 要 保证 密 钥 的 安全 性 ，CP 就 无 法 破译 数据 ， 
但 这 种 情况 下 还 可 能 存在 诸如 数据 破坏 以 及 拒绝 服务 攻击 等 安全 风险 。 

实现 加 密 机 制 的 方式 多 种 多 样 ， 其 中 一 个 非常 简单 的 方式 如 下 所 示 。 对 数据 库 中 不 同 的 
表 项 分 别 进行 加 密 操作 ， 且 加 密 过 程 中 使 用 相同 的 加 密 密 钥 。 加 密 后 的 数据 库存 储 在 服务 
器 中 , 但 服务 器 并 不 具有 相应 的 密 钥 ， 因 此 位 于 服务 器 中 的 数据 是 安全 的 。 即 使 一 些 人 能 够 
人 侵 到 服务 器 系统 中 ， 他 所 看 到 的 也 都 是 加 密 后 的 数据 。 客 户 端 系统 具有 加 密 密 钥 的 一 个 副 
本 ， 客 户 端的 用 户 可 以 通过 如 下 方式 从 数据 库 中 检索 一 条 记录 : 

1 ) 用 户 根据 特定 的 主键 值 对 一 条 或 者 多 条 记录 中 的 字段 发 起 SQL 查询 。 

2) 客户 端的 查询 处 理 器 对 主键 进行 加 密 ， 随 后 修改 SQL 查询 语句 ， 并 将 修改 后 的 查询 
语句 发 送 至 服务 器 。 

3 ) 服务 器 使 用 加 密 后 的 主键 值 进行 数据 库 查询 操作 ， 并 将 相应 的 结果 返回 给 客户 端 。 

4 ) 客户 端的 查询 处 理 器 解密 数据 ， 随 后 返回 结果 。 

基于 上 述 理 念 ， 目 前 已 经 实现 了 一 些 更 加 高 效 和 灵活 的 系统 ， 感 兴趣 的 读者 可 以 参考 作 
者 的 另 一 本 书 《 计 算 机 安全 : 原理 与 实践 》[STAL15a]。 


16.4.4 云 安全 即 服 务 


词汇 安全 即 服务 通常 的 含义 是 服务 提供 商 所 提供 的 一 个 安全 服务 包 ， 该 安全 服务 包 将 大 
部 分 的 安全 责任 由 企业 转嫁 给 了 安全 服务 提供 商 。 在 这 些 提 供 的 服务 中 ， 常 见 的 服务 包括 鉴 
别 、 防 病毒 、 防 恶意 软件 /间谍 软件 、 入 侵 检 测 ， 以 及 安全 事件 管理 等 。 在 云 计算 场景 下 ， 
云 安全 即 服务 (简称 SecaaS) 特 指 由 CP 所 提供 的 SaaS. 

云 安 全 联盟 将 SecaaS 定义 为 通过 云 提供 安全 应 用 和 服务 ,包括 或 者 是 从 基于 云 的 基础 
设施 到 软件 ， 或 者 是 从 云 到 客户 的 内 部 部 署 系统 [CSA11]。 云 安全 联盟 已 经 确定 了 以 下 几 种 
SecaaS 服务 类 别 : 

e 身份 和 访问 管理 
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e Web 安全 

e 电子 邮件 安全 

e 安全 评估 

e AREH 

e 安全 信息 和 事件 管理 

e 加 密 

o 业务 连续 性 和 灾难 恢复 

e 网 络 安全 

本 节 内 容 将 涵盖 上 述 类 别 ， 并 主要 关注 基于 云 的 基础 设施 和 服务 的 安全 性 (参见 图 16-7 ) 。 









电子 邮件 安全 安全 评估 


安全 信息 和 事件 
数据 丢失 防护 管理 
有 有 业务 连续 性 和 灾 
难 恢复 
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云 服务 客户 端 和 对 手 
图 16-7 云 安全 即 服务 的 要 素 


e 身份 和 访问 管理 (IAM) 包括 用 于 管理 访问 企业 资源 的 人 员 、 进 程 和 系统 ， 确 保 实 体 
的 身份 能 够 被 正确 被 验证 ， 然 后 基于 此 验证 过 的 身份 为 其 授予 正确 的 访问 级 别 。 身 
份 管理 的 一 个 方面 是 身份 配置 ， 包 括 为 授权 用 户 提供 访问 支持 ， 以 及 当 客 户 端 企业 
将 这 些 用 户 指定 为 不 再 能 够 访问 云 中 的 企业 资源 时 ， 阻 止 用 户 对 特定 资源 的 访问 。 
身份 管理 的 另 一 个 方面 是 让 云端 参与 客户 企业 使 用 的 联合 身份 管理 方案 。 除 其 他 要 
求 外 ， 云 服务 提供 商 (CSP) 必须 能 够 与 企业 所 选择 的 身份 提供 者 交换 身份 属性 。 

IAM 的 访问 管理 部 分 涉及 身份 认证 和 访问 控制 服务 。 例 如 ，CSP 必须 能 够 以 可 
信和 的 方式 对 用 户 进行 身份 认证 。SPI 环境 中 的 访问 控制 要 求 包括 建立 可 信用 户 档案 和 
策略 信息 ， 使 用 它 来 控制 云 服务 中 的 访问 ， 并 以 可 审计 的 方式 执行 此 操作 。 

e 数据 丢失 防护 ( DLP) 是 监测 、 保 护 和 验证 在 存储 、 运 动 和 使 用 中 的 数据 的 安全 性 。 
正如 在 随后 将 讨论 的 ， 大 多 数 DLP 可 以 由 云 客户 端 实现 .CSP 也 可 以 提供 DLP 服务 ， 
例如 实现 在 各 种 上 下 文中 对 数据 分 别 可 以 执行 什么 功能 的 规则 。 

o Web 安全 是 一 种 实时 保护 机 制 ， 它 可 以 通过 软件 /设备 安装 在 内 部 实现 ， 或 者 通过 
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将 Web 流量 代理 或 重 定向 到 CP 以 在 云 中 实现 。 这 在 防 病毒 等 安全 行为 的 基础 上 提 
供 了 一 个 额外 的 保护 层 ， 可 以 防止 恶意 软件 通过 诸如 网 页 浏览 等 活动 进入 企业 内 部 。 
除了 防范 恶意 软件 外 ， 基 于 云 的 Web 安全 服务 还 可 能 包括 应 用 策略 强化 、 数 据 备份 、 
流量 控制 和 Web 访问 控制 等 。 

CSP 可 能 提供 基于 Web 的 电子 邮件 服务 ， 对 此 同样 需要 相应 的 安全 措施 。 电 子 邮 件 
安全 提供 对 入 站 和 出 站 电子 邮件 的 控制 ， 保 护 组 织 免 受 网 络 钓 鱼 、 恶 意 附件 等 安全 
威胁 ， 并 确保 执行 诸如 可 用 性 、 垃 圾 邮件 防护 等 公司 的 安全 策略 。CSP 还 可 以 在 所 
有 的 电子 邮件 客户 端 上 使 用 数字 签名 ， 并 提供 可 选 的 电子 邮件 加 密 。 

安全 评估 是 对 云 服务 的 第 三 方 审 计 。 虽 然 这 项 服务 在 CSP 的 功能 之 外 ，CSP 可 以 提 
供 工 具 和 接 人 点 ， 以 方便 各 种 评估 活动 。 

入 侵 管 理 包 括 入 侵 检测 、 防 和 响应 。 该 服务 的 核心 是 在 云 的 接 人 点 和 云端 服务 器 上 
部 署 人 侵 检 测 系统 (IDS) 和 入侵 防御 系统 CIPS). IDS 是 一 组 自动 化 工具 ， 旨 在 检 
测 对 主机 系统 的 未 经 授权 的 访问 。IPS 集成 了 IDS 功能 ， 同 时 还 包括 阻止 人 侵 者 流量 
的 功能 。 

安全 信息 和 事件 管理 ( SIEM ) 通过 推 或 拉 机 制 聚 合 各 种 日 志和 事件 数据 ， 这 些 数据 
可 能 来 自 不 同 的 虚拟 和 实际 网 络 ， 以 及 不 同 的 应 用 程序 和 系统 等 。 随 后 ， 将 这 些 信 
息 进 行 关联 和 分 析 ， 以 针对 那些 可 能 需要 干预 或 其 他 类 型 的 响应 的 信息 /事件 提供 实 
时 的 报告 和 告警 。CSP 通常 提供 一 个 集成 的 服务 ， 可 以 将 来 自 云 端 和 客户 端 企业 网 
络 内 的 各 种 信息 收集 在 一 起 。 

加 密 是 一 种 普 适 的 服务 ， 可 以 提供 给 云 中 存储 的 数据 、 电 子 邮件 流量 、 客 户 端 相关 
的 网 络 管理 信息 ， 以 及 身份 信息 等 。CSP 提供 的 加 密 服 务 包 括 许 多 复杂 的 内 容 ， 如 
密 钥 管理 、 如 何在 云 中 实现 虚拟 专用 网 (VPN)、 应 用 加 密 ， 以 及 数据 内 容 访问 等 。 
业务 连续 性 和 灾难 恢复 包括 相应 的 措施 和 机 制 ， 以 确保 任何 服务 中 断 事 件 发 生 时 的 
运行 弹性 。 这 是 CSP 因为 规模 效应 而 能 为 去 服务 客户 带 来 明显 收益 的 领域 。CSP 可 
以 在 多 个 位 置 提 供 备份 ， 从 而 具有 可 靠 的 故障 转移 和 灾难 恢复 功能 。 该 服务 必须 包 
括 灵活 的 基础 设施 、 功 能 和 硬件 的 元 余 、 对 运行 状态 的 监控 、 地 理 上 分 布 的 数据 中 
心 和 网 络 的 可 生存 能 力 。 

网 络 安全 包括 一 系列 安全 服务 ， 能 够 对 底层 的 资源 服务 进行 访问 分 配 、 分 发 、 监 视 
和 保护 。 这 里 底层 的 资源 服务 包括 边界 防火 墙 和 服务 器 防火 墙 ， 以 及 拒绝 服务 攻击 
防护 手段 等 。 本 节 所 列举 的 许多 其 他 服务 ， 包 括 和 人 侵 管 理 、 身 份 和 访问 管理 、 数 据 
丢失 保护 ， 以 及 Web 安全 等 ， 也 都 对 网 络 安全 服务 有 帮助 。 


16.4.5 ”解决 云 计算 的 安全 问题 

人 们 已 经 提出 了 许多 文件 来 指导 对 与 云 计 算 相关 的 安全 问题 进行 商业 思考 。 除 了 SP- 
800-144 (该 文件 提出 了 一 个 总 体 指导 ) 之 外 ，NIST 还 在 2012 年 5 月 发 布 了 SP-800-146 
《 云 计算 简介 及 建议 》。NIST 的 建议 系统 地 考虑 了 商业 实体 使 用 的 每 一 个 主要 的 云 服务 类 
型 包括 软件 即 服务 (SaaS)、 基 础 设施 即 服务 (IaaS)， 以 及 平台 即 服务 ( PaaS)。 根 据 云 服 
务 类 型 的 不 同 ， 安 全 问题 也 有 所 不 同 ,但 是 多 个 NIST 的 建议 与 服务 类 型 无 关 。 毫 不 奇怪 ， 
NIST 建议 选择 具有 下 述 特征 的 云 提供 商 : 支持 强加 密 、 具 有 适当 的 宛 余 机 制 ， 使 用 身份 认 
证 机 制 ， 并 使 用 户 充分 了 解 所 采用 的 保护 特定 用 户 免 受 其 他 用 户 和 提供 商 威胁 的 机 制 。 如 





300 BRED FAK ZR 


表 16-4 所 示 ，SP-800-146 还 列 出 了 云 计算 环境 中 相关 的 整体 安全 控制 ， 这 些 安全 控制 机 制 
必须 分 配给 不 同 的 云 计算 参与 者 。 
表 16-4 控制 功能 和 类 别 
BR as 

访问 控制 认证 、 认 可 及 安全 评估 

审计 问 责 规划 风险 评估 

识别 和 认证 系统 与 服务 获取 

系统 和 通信 保护 


| 物理 和 环境 保护 | 
| | 
| 系统 和 信息 完整 性 | 
随 着 越 来 越 多 的 企业 将 云 服务 纳入 其 企业 网 络 基础 设施 ， 云 计算 安全 性 逐渐 成 为 一 个 重 
要 的 问题 。 云 计算 安全 失败 的 例子 有 可 能 降低 用 户 对 云 服务 的 商业 兴趣 ， 这 种 危机 将 促使 服 
务 提供 商 认真 考虑 提供 相应 的 安全 机 制 ， 以 便 消 除 潜在 用 户 的 不 安 。 一 些 服务 提供 商 已 将 其 
业务 转移 到 第 4 层 数据 中 心 ， 以 解决 用 户 对 可 用 性 和 宛 余 度 的 担忧 。 由 于 许多 企业 仍然 不 愿 
意 大 量 采用 云 计算 技术 ， 云 服务 提供 商 将 不 得 不 继续 努力 ， 向 潜在 客户 保证 其 核心 业务 流程 
和 关键 业务 应 用 可 以 安全 稳妥 地 迁移 到 云端 。 


16.5 lol 安全 


IoT 可 能 是 网 络 安全 领域 中 最 复杂 和 未 充分 研究 的 领域 。 图 16-8 可 以 帮助 我 们 理解 这 
一 点 ， 其 中 展示 了 IoT 安全 的 关键 要 素 。 在 网 络 中 心 位 置 是 应 用 平台 、 数 据 存储 服务 器 、 网 
络 和 安全 管理 系统 。 这 些 中 心 系统 从 传感器 收集 数据 ， 将 控制 信和 号 发 送 到 执行 器 ， 并 负责 管 
理 物 联网 设备 及 其 通信 网 络 。 在 网 络 的 边缘 是 具有 IoT 功能 的 设备 ， 其 中 一 些 是 非常 简单 的 
功能 受 限 设 备 ， 而 另 一 些 则 是 更 加 智能 的 非 受 限 设 
备 。 同 样 ， 网 关 可 以 代表 IoT 设备 完成 协议 转换 和 
其 他 网 络 服务 。 

图 16-8 展示 了 一 些 典 型 的 互 连 场景 以 及 所 包 
含 的 安全 特性 。 

图 16-8 的 阴影 部 分 表示 系统 至 少 支持 这 些 
功能 中 的 一 部 分 。 通 常 ， 网 关 会 实现 诸如 TLS 和 
IPsec 等 安全 功能 。 非 受 限 设备 可 能 会 实现 一 些 安 
全 功能 ， 而 受 限 设备 通常 具有 十 分 有 限 的 安全 功 
能 ， 甚 至 不 具有 安全 功能 。 正 如 图 中 所 示 ， 网 关 设 
备 可 以 为 网 关 和 位 于 网 络 中 心 的 设备 之 间 提 供 安全 
通信 功能 ， 如 应 用 平台 和 管理 平台 等 。 然 而 ， 连 接 
到 网 关 的 任何 受 限 或 非 受 限 设备 都 位 于 网 关 和 中 心 





应 用 、 管 理 或 者 。 CU) 非 受 限 设备 
存储 平台 
ax © amai 


系统 之 间 建 立 的 安全 区 之 外 。 该 图 还 显示 ， 非 受 限 阴影 = 包含 安全 功能 
设备 可 以 直接 与 中 心 进行 通信 ， 并 支持 一 些 安全 功 图 16-8 IoT 安全 : 感 兴趣 的 元 素 
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能 。 但 未 连接 到 网 关 的 受 限 设备 无 法 与 中 心 设备 进行 安全 通信 。 


16.5.1 漏洞 修复 


在 一 篇 经 常 引 用 的 2014 年 的 文章 中 ， 安 全 专家 Bruce Schneier Ha, RIEA TRA 
式 系统 (包括 IoT 设备 ) 的 安全 性 危机 点 [SCHN14]。 艇 人 式 设 备 中 存在 着 大 量 的 漏洞 ， 而 
目前 没有 什么 好 办 法 来 修复 这 些 漏洞 。 芯 片 制造 商 有 强大 的 动力 来 尽 可 能 快速 和 便宜 地 生产 
其 固件 和 软件 产品 。 设 备 制 造 商 根据 价格 和 功能 选择 芯片 ， 并 且 对 芯片 软件 和 固件 本 身 所 做 
的 工作 非常 少 。 相 反 ， 他 们 的 关注 点 在 于 设备 自身 的 功能 。 最 终 用 户 可 能 并 没有 修复 系统 的 
方法 ; 或 者 即使 有 相应 的 修复 手段 ,他们 也 缺乏 相应 的 信息 来 确定 何 时 修复 以 及 如 何 修复 。 
最 终 导 致 的 结果 就 是 物 联网 中 数 以 亿 计 的 网 络 设备 容易 受到 攻击 。 对 传感器 而 言 ， 如 果 攻 击 
者 能 够 通过 其 将 错误 的 数据 注入 到 网 络 中 ， 显 然 存 在 严重 的 安全 性 问题 。 而 对 执行 器 而 言 ， 
如 果 攻 击 者 能 够 通过 其 影响 机 械 和 其 他 设备 的 运行 ， 显 然 会 带 来 更 加 严重 的 安全 威胁 。 


16.5.2 ITU-T 定义 的 loT 安全 和 隐私 需求 


ITU-T Y.2066 建议 书 《 物 联网 的 通用 要 求 》( 2014 年 6 月 发 布 ) 包含 了 一 个 描述 IoT 安 
全 要 求 的 列表 ,该 列表 有 助 于 了 解 在 部 署 IoT 的 过 程 中 所 需 实现 的 安全 功能 。 这 些 要 求 被 定 
义 为 在 捕获 、 存 储 、 传 输 、 聚 合 和 处 理 各 种 事物 数据 时 的 功能 要 求 ， 以 及 提供 涉及 各 种 事物 
的 服务 ， 且 这 些 需 求 与 所 有 IoT 执行 器 均 相 关 ， 具 体 定义 如 下 。 

e 通信 安全 : 系统 必须 具有 安全 、 可 信和 支持 隐私 保护 的 通信 功能 ， 从 而 可 以 禁止 对 
数据 内 容 的 未 经 授权 的 访问 ， 可 以 保证 数据 的 完整 性 ， 并 在 数据 传输 或 转换 过 程 中 
保护 数据 的 隐私 相关 内 容 。 

e 数据 管理 安全 : 系统 必须 具有 安全 、 可 信和 支持 隐私 保护 的 数据 管理 功能 ， 从 而 可 
以 禁止 对 数据 内 容 的 未 经 授权 的 访问 ， 可 以 保证 数据 的 完整 性 ， 并 且 在 物 联网 中 存 
储 或 处 理 数据 时 可 以 保护 数据 的 隐私 相关 内 容 。 

e 服务 提供 安全 : 系统 必须 具有 安全 、 可 信和 支持 隐私 保护 的 服务 提供 功能 ， 从 而 可 
以 禁止 未 经 授权 的 服务 访问 和 欺诈 性 的 服务 提供 等 行为 ， 并 且 可 以 保护 与 IoT 用 户 
相关 的 隐私 信息 。 

e 安全 策略 和 技术 的 集成 : 系统 必须 具有 集成 不 同安 全 策略 和 技术 的 能 力 ， 以 确保 对 
物 联 网 中 各 种 设备 和 用 户 网 络 进行 一 致 性 的 安全 控制 。 

© 双向 认证 和 授权 : 在 设备 (或 者 IoT 用 户 ) 能 够 访问 IoT 之 前 ， 需 要 根据 预先 定义 的 
安全 策略 来 执行 设备 (或 者 IoT 用 户 ) 和 IoT 之 间 的 双向 认证 及 授权 。 

e 安全 审计 : IoT 必须 能 够 支持 安全 审计 ， 其 中 任何 的 数据 访问 或 者 试图 访问 IoT 应 用 
程序 的 行为 都 需要 根据 适当 的 法 律 法 规 完全 透明 、 可 追溯 和 可 重 现 。 特 别 地 ，IoT 需 
要 支持 数据 传输 、 存 储 、 处 理 和 应 用 程序 访问 的 安全 审计 。 

网 关 是 提供 IoT 部 署 中 安全 性 的 关键 要 素 。2014 年 6 月 发 布 的 立 2067《 物 联网 网 关 的 
通用 要 求 和 能 力 》 详 细 介 绍 了 网 关 需 要 实现 的 具体 安全 功能 ， 其 中 一 些 如 图 16-9 所 示 ， 具 
体 包 括 如 下 内 容 : 

o 能 够 识别 接 入 设备 的 每 次 访问 。 

e 支持 设备 认证 。 基 于 应 用 程序 的 需求 和 设备 的 功能 ， 需 要 支持 与 设备 的 双向 或 者 单 

向 认证 。 在 单 向 认证 中 ， 设 备 向 网 关 进行 认证 或 者 网 关 向 设备 进行 认证 ， 但 不 能 同 
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时 进行 两 者 之 间 的 相互 认证 。 
e 支持 与 应 用 的 双向 认证 。 
© 支持 数据 的 安全 性 ， 无 论 这 些 数 据 是 存储 在 设备 
和 网 关中 还 是 在 网 关 和 设备 之 间 进 行 传输 ， 或 者 
是 在 网 关 与 应 用 之 间 进 行 传输 。 
© 支持 保护 设备 和 网 关 隐 私 的 机 制 。 
。 支持 自 诊 断 、 自 修复 以 及 远程 维护 。 
© 支持 固件 和 软件 的 升级 。 
e 支持 自动 配置 或 者 通过 程序 进行 配置 。 网 关 需 要 
支持 多 种 配置 模式 ， 例 如 远程 和 本 地 配置 ， 自 动 
和 手动 配置 ， 以 及 基于 策略 的 动态 配置 。 
当 涉 及 为 受 限 设备 提供 安全 服务 时 ， 上 述 要 求 中 的 一 
些 可 能 难以 实现 。 例 如 ， 网 关 需 要 支持 在 设备 中 存储 的 数 
据 的 安全 性 ， 但 如 果 在 受 限 设备 上 没有 加 密 功能 ， 上 述 目 图 16-9 IoT 网 关 安全 功能 
标 是 不 可 能 实现 的 。 
需要 注意 的 是 ，Y.2067 要 求 中 多 次 提 到 了 隐私 要 求 。 随 着 具有 IoT 功能 的 设备 在 家 庭 、 
零售 店 、 车 辆 和 人 类 中 的 广泛 部 署 ， 隐 私 获得 了 越 来 越 多 的 关注 。 随 着 越 来 越 多 的 物体 进行 
互 连 ， 政 府 和 民营 企业 将 收集 有 关 个 人 的 大 量 数据 ， 包 括 医疗 信息 、 位 置 和 移动 信息 ， 以 及 
应 用 程序 使 用 等 。 


16.5.3 lol 安全 框架 


作为 在 物 联 网 世界 论坛 参考 模型 (IJoT World Forum Reference Model) ( 见 图 15-4) 的 发 
展 中 发 挥 主导 作用 的 思科 公司 ， 目 前 已 经 开发 了 一 个 物 联网 安全 框架 [FRAH15]， 作 为 对 世 
界 论坛 参考 模型 的 一 个 有 益 补充 。 
图 16-10 展示 了 与 IoT 的 逻辑 结构 相关 的 安全 环境 。IoT 模型 是 物 联网 世界 论坛 参考 模 
型 的 一 个 简化 版 本 ,包括 如 下 几 个 层次 。 
o 智能 对 象 / 嵌入 式 系统 : 包括 传感器 、 执 行 器 和 网 络 边缘 的 其 他 嵌入 式 系统 ， 这 是 物 
联网 中 最 有 价值 的 部 分 。 这 些 设 备 可 能 不 在 物理 上 安全 的 环境 中 ， 并 且 可 能 需要 运 
行 多 年 。 可 用 性 无 疑 是 一 个 重要 问题 。 并 且 ， 网 络 管理 员 需 要 关心 传感器 所 生成 数 
据 的 真实 性 和 完整 性 ， 以 及 需要 关心 保护 执行 器 和 其 他 智能 设备 不 会 出 现 未 经 授权 
的 使 用 。 保 护 隐私 免 受 窃听 也 可 能 是 安全 要 求 之 一 。 
© 雾 / 边缘 网 络 : 该 层次 通过 有 线 或 者 无 线 技术 实现 IoT 设备 的 互 连 。 此 外 ， 在 这 一 层 
次 还 可 以 进行 一 定量 的 数据 处 理 和 整合 。 本 层次 需要 关注 的 一 个 关键 问题 是 大 量 IoT 
设备 使 用 的 各 种 不 同 的 网 络 技术 和 协议 ， 以 及 需要 开发 和 实施 一 套 统 一 的 安全 策略 。 
。 核心 网 络 : 核心 网 络 层次 提供 网 络 中 心平 台 和 IoT 设备 之 间 的 数据 路 径 。 这 里 的 安全 
问题 与 传统 的 核心 网 络 所 面临 的 安全 问题 相 类 似 ， 然 而 ， 需 要 与 大 量 的 端点 进行 交 
互 并 对 其 进行 管理 ， 从 而 带 来 了 很 大 的 安全 负担 。 
e 数据 中 心 / 云 : 这 一 层次 包括 应 用 、 数 据 存储 ， 以 及 网 络 管理 平台 。 除 了 需要 处 理 海 
量 的 独立 端 结 点 之 外 ，IoT 在 这 一 层次 并 未 引入 任何 新 的 安全 问题 。 








16-10 IoT 安全 环境 


在 这 种 四 层 体 系 结构 中 ， 思 科 模 型 定义 了 四 种 跨越 多 层次 的 通用 安全 功能 。 
e 基于 角色 的 安全 : RBAC (role-based security) 系统 为 角色 而 不 是 单个 用 户 分 配 访问 
权限 ， 相 应 地 ， 根 据 职责 的 不 同 ， 用 户 被 静态 或 动态 地 赋予 不 同 的 角色 。RBAC 是 
一 个 在 云 和 企业 安全 方面 具有 广泛 商业 用 途 的 工具 ， 得 到 了 深入 的 研究 ， 可 用 于 管 
理 对 物 联网 设备 及 其 所 产生 数据 的 访问 。 
e 防 算 改 和 检测 : 这 一 功能 在 设备 和 雾 网 络 层次 特别 重要 ， 但 其 应 用 也 延伸 到 核心 网 
络 的 层次 。 所 有 这 些 层次 均 可 能 包括 一 些 在 物理 上 超出 企业 区 域 之 外 的 组 件 ， 从 而 
无 法 受到 物理 安全 措施 的 保护 。 
e 数据 保护 与 保密 : 这 些 功 能 贯穿 体系 结构 的 所 有 层次 。 
e 因特网 协议 保护 : 对 所 有 层次 而 言 ， 保 护 数据 在 传输 过 程 中 不 被 窃听 均 至 关 重要 。 
基于 角色 的 访问 控制 
根据 用 户 在 系统 中 的 角色 以 及 为 每 个 角色 的 用 户 所 ”安全 分 析 : 可 见 性 和 控制 
分 配 的 访问 权限 进行 访问 控制 。 网 络 执行 策略 
16-10 将 相应 的 安全 功能 区 域 在 IoT 的 四 层 模型 
中 进行 了 上 映射。 思科 2015 年 的 一 份 IoT 安全 方面 的 白 
皮 书 [FRAH15] 同样 提出 了 一 个 安全 的 IoT HER, HE 
架 定义 了 能 够 应 用 于 IoT 所 有 层次 的 安全 设施 所 包含 
的 组 件 。 图 16-11 给 出 了 该 框架 的 基本 描述 ， 具 体 如 下 
所 述 。 
。 认证 : 包括 那些 能 够 通过 识别 IoT 设备 来 决定 进 l 
行 相应 访问 控制 的 组 件 。 传 统 的 企业 网 设备 可 以 BIE ea ee, 
通过 人 类 凭据 来 识别 (如 用 户 名 和 密码 或 者 令 牌 等 )， 但 与 之 相反 ，IoT 结 点 必须 通 
过 不 需要 人 为 交互 的 方式 进行 识别 。 这 些 标识 包括 RFID, 、X.509 证 书 ， 或 者 结 点 的 
MAC 地 址 等 。 
授权 : 用 于 控制 设备 在 整个 网 络 结构 中 的 访问 能 力 。 这 一 组 件 包括 访问 控制 机 制 。 通 
过 与 认证 层次 相 结合 ， 它 可 以 建立 必要 的 参数 ， 以 支持 设备 之 间 以 及 设备 和 应 用 平 
台 之 间 的 信息 交换 ， 并 支持 与 IoT 相关 的 服务 得 到 执行 。 
网 络 执行 策略 : 包括 通过 基础 设施 安全 地 路 由 和 传输 端 结 点 流量 的 所 有 组 件 ， 无 论 
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这 些 流 量 是 控制 流量 、 管 理 流量 ， 还 是 实际 的 数据 流量 。 

。 安全 分 析 ， 包 括 可 见 性 与 控制 : 这 一 组 件 包 括 集中 管理 IoT 设备 所 需 的 全 部 功能 ， 具 
体内 容 包括 : 首先 ，IoT 设备 的 可 见 性 ， 这 意味 着 中 央 管 理 服务 可 以 安全 地 了 解 分 布 
式 的 IoT 设备 集合 ， 包 括 每 个 设备 的 身份 和 属性 。 其 次 ， 在 这 种 可 见 性 之 上 是 能 够 
对 其 进行 控制 的 能 力 ， 具 体 包括 配置 、 补 丁 更 新 和 威胁 处 理 。 

与 此 框架 相关 的 一 个 重要 概念 就 是 信任 关系 。 在 这 一 场景 中 ， 信 任 关系 是 指 通信 双方 对 
彼此 的 身份 和 访问 权限 具有 信心 。 信 任 框 架 的 认证 组 件 提供 了 最 基本 的 信任 级 别 ， 并 进一步 
通过 授权 组 件 对 其 进行 扩展 。 思 科 IoT 安全 白皮书 [FRAH15] 给 出 了 一 个 例子 : 一 辆 汽车 可 
以 与 同一 个 厂商 的 另 一 辆 汽车 建立 信任 关系 。 然 而 ， 这 一 信任 关系 可 能 仅 允 许 它们 相互 交换 
基本 的 安全 功能 。 而 当 同 一 辆 汽车 与 其 经 销 商 网 络 之 间 建 立信 任 关系 时 ， 可 能 就 会 允许 汽车 
共享 诸如 里 程 表 读数 和 最 后 维护 记录 等 额外 信息 。 


16.5.4 结束语 


计算 机 和 网 络 安全 协议 、 技 术 及 策略 在 过 去 几 十 年 中 逐步 发 展 和 成 熟 ， 以 不 断 适 应 企 
业 、 政 府 和 其 他 用 户 的 需求 。 尽 管 在 攻击 者 和 防护 者 之 间 正 在 进行 军备 竞赛 ， 但 是 还 是 可 以 
为 传统 网 络 和 SDN / NFV 网 络 建立 强大 的 安全 设施 。 具 有 数 百 万 到 数 十 亿 台 设备 的 IoT 网 
络 的 突然 出 现 给 网 络 安 全 带 来 了 前 所 未 有 的 挑战 。 诸 如 图 16-10 和 图 16-11 所 描述 的 模型 和 
框架 可 以 作为 设计 与 实现 物 联 网 安全 设施 的 基础 。 


16.6 ”重要 术语 
学 完 本 章 后 ， 你 应 当 能 够 给 出 下 列 术 语 的 定义 。 
可 审计 性 数据 机 密 性 基于 角色 的 访问 控制 (RBAC) 
攻击 表面 数据 完整 性 安全 即 服 务 (SecaaS) 
真实 性 虚拟 机 管理 程序 内 省 系统 完整 性 
可 用 性 完整 性 传输 层 安全 (TLS) 
机 密 性 隐私 
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你 不 明白 ! 我 应 该 是 个 有 身份 的 人 。 我 应 该 是 个 强 者 。 我 本 可 以 成 为 大 人 物 ， 
而 不 应 该 像 现 在 一 样 只 是 一 个 流浪 汉 。 
一 一 Marlon Brando,《 码 头 风 云 》，1954 
本 章 目 标 
学 完 本 章 后 ， 你 应 当 能 够 : 
© 讨论 网 络 专家 不 断 变化 的 职责 ， 以 及 对 工作 职位 的 影响 。 
e 给 出 DevOps 的 概述 。 
o 理解 DevOps 在 实现 网 络 系统 中 的 角色 。 
e 理解 培训 和 认证 程序 的 相关 性 。 
网 络 前 景 在 技术 和 方向 上 都 在 发 生 快 速 的 变化 。 为 了 提升 自己 的 职业 能 力 ， 网 络 专家 不 
仅 需 要 掌握 新 技术 ， 还 需要 在 网 络 技 术 、 管 理 和 部 署 等 多 个 方面 扩大 他 们 的 视野 。 本 章 的 目 
标 在 于 提供 一 些 指导 和 信息 ， 帮 助 大 家 在 新 的 网 络 前 景 中 保护 和 增强 职业 竞争 力 。 
本 章 首先 给 出 一 些 关 于 网 络 专家 角色 变化 的 整体 思考 ， 随 后 关注 于 一 个 在 发 展 你 的 职业 
技能 时 可 能 被 忽视 的 领域 DevOps， 之 后 再 对 培训 和 认证 进行 讨论 。 最 后 本 章 以 对 在 线 资 
源 的 讨论 结束 ， 这 些 在 线 资 源 可 以 作为 持续 的 信息 和 支持 源 。 


17.1 网 络 专业 人 员 的 角色 变化 


新 兴 的 网 络 时 代 有 很 多 内 容 需 要 网 络 专业 人 员 进 行 认真 的 思考 ， 其 中 一 些 典 型 例子 
如 下 : 

e 网 络 基 础 设施 不 再 可 能 源 于 同一 个 厂商 。 基 础 设施 具有 多 个 层次 ,预先 定义 的 接口 

(水 平 接口 和 垂直 接口 )、 抽 象 性 依赖 ， 以 及 本 地 和 基于 云 / 雾 的 要 素 组 合 等 。 

© 应 用 负载 在 种 类 和 速度 上 都 在 不 断 变 化 。 管 理 、 使 用 ， 甚 至 定义 网 络 基础 设施 的 软 
件 模 块 需要 与 网 络 软 件 环 境 相 协调 。 

e 网 络 专业 人 员 可 用 的 工具 集 在 快速 增加 ， 包 括 语言 、 脚 本 工具 ， 以 及 能 够 帮助 进行 
网 络 设计 、 部 署 、 运 维 、 管 理 和 安全 的 多 种 产品 包 。IT 执行 部 门 知道 这 些 工具 的 存 
在 ， 并 和 希望 他 们 的 网 络 团队 能 够 使 用 这 些 工 具 。 

o 网 络 功能 在 不 断 地 通过 软件 技术 定义 、 实 现 和 管理 ， 如 软件 定义 网 络 技术 (SDN) 和 
网 络 功能 虚拟 化 技术 ( NFV)， 网 络 的 这 一 “ 软 ” 特 征 迫 使 IT 管理 和 网 络 开发 及 运 维 
不 断 协作 。 

网 络 领域 的 从 业者 不 能 奢望 仅 依靠 在 学 校 或 者 培训 机 构 学 习 的 知识 来 应 对 新 的 挑战 。 
SDN 和 NFV 为 更 多 的 参与 者 开放 了 网 络 生态 系统 ， 这 样 来 自 不 同 背景 的 人 们 都 可 以 进入 复 
杂 的 网 络 世界 。 网 络 领 域 的 人 员 角 色 和 职位 将 更 加 具有 流动 性 ， 将 会 不 断 有 新 的 职位 出 现 和 
旧 的 职位 消失 。 为 了 保持 他 们 的 竞争 力 ， 网 络 领域 的 从 业者 需要 尽 可 能 地 抓 住 内 部 和 第 三 方 
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培训 的 机 会 。 


17.1.1 不 断 变 化 的 职责 


在 Metzler 发 表 的 一 篇 论文 [METZ14b] 中 ， 具 体 列举 了 网 络 和 IT 基础 设施 专家 的 新 角 
色 所 具有 的 下 述 关键 特征 。 

e 更 加 强调 编程 : 作为 SDN A NFV 网 络 结构 一 部 分 的 应 用 程序 接口 (API) 要 求 高 级 
IT 专家 需要 对 编程 具有 一 定 的 了 解 ， 以 便 更 好 地 与 企业 软件 开发 部 分 交互 。 机 构 也 
可 能 要 求 网 络 专业 人 员 利 用 新 的 可 用 API 写 程序 ， 从 而 利用 这 些 新 API 的 功能 ， 我 

467 们 将 在 17.2 节 详 细 讨 论 。 

e 在 IT 学 科 方 面 不 断 增 加 的 知识 : IT 将 越 来 越 不 再 通过 特定 的 领域 进行 分 割 (如 存 
储 、 网 络 、 虚 拟 化 、 安 全 等 )， 而 是 多 个 团队 相互 协作 形成 功能 交叉 。 对 协作 的 强调 
和 DevOps (在 下 一 节 讨 论 ) 要 求 具有 综合 性 的 技能 ， 从 IT 安全 到 数据 库 设 计 、 到 应 
用 程序 体系 结构 ， 以 及 这 中 间 的 所 有 事情 。 尽 管 团队 中 每 个 个 体 各 有 所 长 ， 但 都 需 
要 了 解 其 他 领域 的 一 些 知识 。 

e 对 安全 重点 强调 : 随 着 数据 在 内 部 、 在 云 中 以 及 在 用 户 设 备 上 进行 安全 保障 ， 安 全 
领域 变 得 更 加 重要 。 数 据 是 任何 一 个 公司 的 生命 线 ， 因 此 一 件 非常 重要 的 事情 就 是 ， 
确定 和 强化 能 够 保证 事物 安全 的 策略 ， 但 同时 又 不 影响 用 户 完 成 工作 的 能 力 。 

e 更 加 关注 设置 策略 : 相 较 于 以 前 ，SDN 和 NFYV 使 得 IT 机 构 能 够 以 更 加 动态 和 细 粒 
度 的 方式 实现 策略 驱动 的 基础 设施 。 

o 对 业务 具有 更 多 的 知识 : SDN. NFV 和 QoE 提供 了 技术 基础 ， 能 够 根据 业务 需求 和 
用 户 的 要 求 ， 提 供 更 加 敏捷 的 响应 。 当 新 的 应 用 软件 被 部 署 在 网 络 上 时 ， 虚 拟 化 的 
网 络 组 件 能 够 被 快速 修改 和 重新 部 署 在 网 络 中 以 适应 企业 和 用 户 的 需求 。 这 一 场景 
要 求 网 络 专业 人 员 必 须 理 解 网 络 是 如 何 管理 和 配置 的 ， 从 而 能 够 支持 这 一 动态 环境 。 
另 一 个 考虑 是 IT 机 构 有 能 力 证 明 在 IT 方面 的 一 个 投资 与 该 机 构 的 功能 相关 联 ， 并 能 
够 展示 该 投资 的 商业 价值 。 

e 对 应 用 更 深入 的 理解 : 云 计算 和 IoT 开放 了 网 络 需要 支持 的 应 用 的 范围 。 这 些 应 用 的 
体系 结构 同样 也 得 到 了 扩展 ， 从 简单 的 客户 端 / 服 务 器 模型 进行 垂直 扩展 〈 多 级 ) 和 
水 平 扩展 (对 等 方 协同 )。 诸 如 客户 关系 管理 ( CRM) 等 复杂 的 应 用 通常 包括 许多 模 
块 ， 具 有 多 种 网 络 需求 。IT 基础 设施 和 网 络 专业 人 员 需 要 更 好 地 理解 这 些 新 的 体系 
结构 和 复杂 的 应 用 ， 以 便 确 保 能 够 正确 地 设计 新 技术 。 

在 Pretz [PRET14] 的 一 篇 文章 中 指出 了 在 新 的 网 络 环境 下 取得 成 功 需 要 哪些 能 力 ， 列 举 

[468] 了 网 络 专业 人 员 需 要 的 下 述 5 条 技能 : 

e 知道 如 何 结合 IT 领域 和 网 络 领域 的 能 力 ， 这 两 个 领域 在 过 去 几 年 里 曾经 相互 独立 发 
展 , 但 目前 两 者 已 经 开始 融合 。 

e 对 应 用 数学 的 一 个 分 支 一 一 工业 数学 的 理解 。 具 有 这 些 知识 的 人 能 够 更 好 地 理解 技 
术 问 题 ， 建 立 准确 和 精密 的 数学 模型 ， 并 使 用 最 新 的 计算 机 技术 实现 解决 方案 。 对 
这 一 领域 的 理解 能 够 帮助 应 用 机 器 学 习 和 认 知 算法 来 开发 系统 ， 而 这 些 算法 被 认为 
是 降低 SDN 复杂 性 和 动态 性 特征 的 有 效 方法 。 

© 精通 软件 体系 结构 和 开源 软件 ， 这 些 是 开发 SDN 工具 和 应 用 的 必要 手段 。 掌 握 软 
件 验证 和 证 明 过 程 同 样 非常 有 帮助 ， 它 们 能 够 确保 软件 满足 规范 和 最 初 的 设计 目标 。 
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一 些 工程 师 认 为 他 们 需要 编程 技能 ， 但 这 并 非 必需 ， 因 为 已 经 有 来 自 第 三 方 的 软件 
应 用 可 供 使 用 。 

需要 大 数据 分 析 的 背景 以 便 理解 如 何 处 理 来 自 SDN 的 海量 数据 。 具 有 大 数据 分 析 技 
能 的 人 不 仅 能 够 管理 更 多 的 数据 ， 还 能 够 知道 在 发 生 异常 时 需要 问 什 么 样 的 问题 来 
帮助 处 理 异 常 。 这 一 分 析 技 能 还 可 以 帮助 工程 师 做 出 智能 、 数 据 驱动 的 决策 。 

赛 博 安 全 方面 的 专门 技能 ， 因 为 安全 必须 出 现在 SDN 的 所 有 地 方 。 需 要 将 安全 内 符 
到 体系 结构 中 ， 并 作为 一 个 服务 来 提供 ， 从 而 保护 接 和 人 的 资源 和 信息 的 可 用 性 、 完 
整 性 和 隐私 。 


17.1.2 ”对 职位 的 影响 
在 全 球 知 识 白 皮 书 中 , Hales [HALE14] 列举 了 SDN 和 NFV 对 不 同 职位 的 如 下 可 能 影响 。 


网 络 管理 员 : 具有 设计 和 管理 软件 主导 网 络 的 技能 ， 以 及 能 够 规划 从 现 有 环境 到 新 
环境 迁移 策略 的 人 员 将 具有 大 量 的 需求 。 

虚拟 化 管理 员 : 将 需要 具有 更 多 高 级 技能 的 管理 员 ， 以 便 解 决 如 何 实现 云 系统 并 使 
它们 与 现 有 的 基础 设施 相 结合 。 虚 拟 化 管理 员 的 工作 需要 与 存储 、 网 络 、 安 全 以 及 
应 用 团队 更 紧密 地 结合 ， 以 便 能 够 无 颖 地 工作 在 一 起 。 

应 用 管理 员 : 应 用 管理 员 需 要 清楚 SDN 和 NFV API 对 应 用 的 多 种 含义 ， 包 括 应 用 可 
以 要 求 网 络 为 它们 提供 能 够 保证 应 用 正常 工作 的 带宽 和 时 延 。 管 理 员 需要 知道 这 些 
需求 是 什么 ， 并 与 其 他 应 用 管理 员 一 起 确保 所 有 应 用 的 需求 都 得 到 满足 。 安 全 需求 
同样 会 以 非 预期 的 方式 进行 变化 ， 因 此 应 用 管理 员 需 要 对 安全 服务 和 机 制 有 更 好 的 
理解 。 

安全 管理 员 : 安全 管理 员 需 要 与 其 他 类 型 的 管理 员 更 加 紧密 地 在 一 起 工作 ， 保 证 合 
适 的 策略 和 规则 得 到 设计 、 实 施 和 审计 。 随 着 公司 迁移 到 云 中 ， 并 鼓励 用 户 使 用 携 
带 自己 设备 (BYOD) 的 方式 ， 对 这 类 管理 员 的 需求 会 不 断 增加 。 

开发 者 : 开发 者 可 能 需要 集成 功能 到 SDN 和 NFV 控制 器 提供 的 API 中 ,或 者 编写 
能 够 向 网 络 发 起 请 求 的 应 用 。 这 都 需要 额外 的 通用 网 络 知识 和 在 解决 具体 问题 时 所 
需要 的 特定 API 知识 。 开 发 者 需要 详细 考虑 安全 性 问题 ， 并 将 安全 性 需求 交付 至 安 
人 全、 应用、 虚拟 化 或 网 络 团队 ， 以 确保 这 些 需求 能 够 得 到 满足 ， 并 在 需要 的 时 候 对 
应 用 进行 修改 。 

IT 管理 者 : IT 管理 者 必须 变 得 更 加 知识 渊博 ， 需 要 能 够 理解 新 的 网 络 功能 、 新 环境 
的 安全 性 需求 ， 以 及 将 应 用 开发 与 网 络 开 发 相 集成 的 需求 。 机 构 中 的 所 有 人 都 需要 
培养 如 DevOps (在 17.2 节 进 行 讨论 ) 中 所 要 求 的 协作 式 思 维 模式 。 


17.1.3 ”必须 面 对 的 现实 底线 


无 


论 在 新 的 网 络 基础 设施 中 增加 多 少 自动 化 工具 ， 对 高 素质 网 络 专业 人 员 的 需求 都 不 会 


消失 。 但 是 在 新 的 网 络 环境 中 取得 成 功 所 需要 的 角色 、 职 责 和 技能 却 在 不 断 发 生变 化 。 


17.2 


DevOps 


通过 对 SDN、NFV、 云 以 及 物 联网 (IoT) 技术 和 管理 方面 的 文献 进行 综述 可 以 发 现 ， 
大 部 分 文献 都 提 到 了 新 的 人 才 需 求 ， 要 求 他 们 能 够 理解 和 使 用 DevOps 方法 来 设计 、 安 装 并 
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管理 这 些 新 型 网 络 技术 。 本 节 首 先 概述 了 DevOps 的 概念 ， 随 后 探讨 如 何 将 其 应 用 到 现代 网 
络 技术 中 。 


17.2.1 DevOps 基础 

最 近 几 年 ，DevOps 从 一 个 时 艇 词汇 变 成 了 软件 开发 和 部 署 领域 的 一 个 广泛 接受 的 方法 。 
无 论 规模 大 小 ， 企 业 均 试图 理解 什么 是 DevOps、 对 他 们 公司 会 带 来 什么 样 的 影响 。 这 种 关 
注 度 不 仅 来 自 于 IT 执行 官 或 者 CIO， 还 来 自 于 开始 认识 到 Devops 具有 能 够 使 其 业务 单元 
变 得 更 加 高 效 、 交 付 更 高 质量 的 产品 ， 以 及 更 加 敏捷 和 具有 创新 性 潜能 的 业务 管理 者 。 大 的 
软件 机 构 ， 包 括 IBM 和 微软 ， 都 开始 快速 扩展 他 们 的 DevOps 供给 。 


DevOps ( development operation, 开发 运 维 ) 应 用 开发 者 与 测试 和 部 署 部 门 的 紧 
密 整合 o DevOps 是 软件 工程 、 质量 保证 和 运 维 的 交集 。 > 


DevOps 的 关注 点 在 于 应 用 软件 和 支持 软件 的 开发 。DevOps 理念 的 核心 要 义 是 : 在 创建 
一 个 产品 或 者 系统 时 ， 所 有 的 参与 者 (包括 业务 单元 管理 者 、 开 发 者 、 运 维 人 员 、 安 全 人 员 
和 端 用 户 组 等 ) 应 当 从 一 开始 就 相互 协作 。 
为 了 理解 DevOps 方法 ,我 们 需要 简要 地 列举 开发 和 部 署 应 用 的 典型 阶段 。 如 在 《为 普 
通 人 的 应 用 发 布 和 部 署 》 中 所 描述 的 一 样 ， 许 多 应 用 厂商 和 内 部 应 用 开发 者 都 遵守 一 个 类 似 
于 下 面 这 样 的 生命 周期 [MINI14]。 
e FÈ (DEV): 开发 者 在 测试 环境 中 构建 和 部 署 代 码 ， 开 发 团队 以 最 基本 的 层次 测试 
应 用 。 当 应 用 满足 特定 的 标准 后 ， 将 其 移 至 SIT 阶段 。 
© 系统 集成 测试 (SIT): 对 应 用 进行 测试 以 确保 它 能 够 与 现 有 的 应 用 和 系统 协调 工作 。 
当 应 用 满足 这 一 环境 的 标准 后 ， 将 其 部 署 到 UAT 中 。 
e 用 户 接收 测试 (UAT) : 测试 应 用 以 确保 它 能 够 为 端 用 户 提 供需 要 的 特性 。 这 一 环境 
通常 已 经 非常 类 似 产 品 阶段 。 当 应 用 通过 这 些 测试 后 ,将 其 移 至 产品 阶段 。 
e 产品 (PROD): 将 应 用 提供 给 端 用 户 ， 并 通过 监测 应 用 的 可 用 性 和 功能 获取 反馈 。 
随后 的 任何 更 新 和 补丁 都 将 经 历 从 DEV 环境 到 当前 阶段 的 相同 循环 。 
传统 上 ， 信 息 系 统 开发 工程 需要 顺序 地 经 历 上 述 阶段 ， 不 能 在 中 间 阶 段 交 付 部 分 产品 ， 
也 无 法 阶段 性 地 获得 客户 的 反馈 。 整 个 过 程 被 称 为 瀑布 开发 。 在 大 型 项 目 中 ， 一旦 某 个 阶段 
已 经 完成 ， 就 无 法 轻易 地 进行 回 退 ， 就 像 很 难 在 瀑布 中 向 上 移动 一 样 。 从 2000 年 左右 开始 ， 
敏捷 软件 开发 开始 逐渐 获得 大 家 的 青睐 。 敏 捷 方法 强调 团队 工作 、 客 户 参 与 ， 以 及 最 重要 的 
一 点 是 ,创建 整个 系统 的 小 的 或 者 部 分 产品 并 在 用 户 环境 中 测试 。 例 如 ,一 个 具有 25 个 功 
能 的 应 用 可 能 首先 只 实现 一 个 包括 5~6 个 功能 的 原型 系统 。 敏 捷 开发 被 证 明 可 以 非常 高 效 地 
处 理 开发 阶段 的 需求 变化 ， 而 这 种 变化 是 非常 普遍 的 。 
敏捷 开发 的 典型 特征 就 是 以 迭代 循环 的 方式 进行 频繁 发 布 ， 并 具有 一 些 特定 的 自动 化 工 
具 支 持 协 作 。DevOps 进一步 扩展 了 这 一 思想 ， 它 的 典型 特征 包括 : Rik ATH. AR EES 
过 程 中 的 反馈 环 ， 以 及 自动 化 DevOps 过 程 的 完整 的 工具 集 和 实践 文档 。 
图 17-1 来 自 于 《普通 人 的 DevOps 》 给 出 了 DevOps 过 程 的 一 个 概述 [SHAR15]。 
DevOps 可 以 看 作 是 以 下 四 种 主要 行为 的 不 断 重复 循环 。 
e 计划 与 测量 : 关注 于 业务 单元 及 其 规划 过 程 。 计 划 过 程 将 业务 需求 与 开发 过 程 的 输 
出 相 联系 。 这 一 行为 可 以 以 整个 计划 中 一 些小 的 、 有 限 部 分 作为 开始 ， 确 定 待 开 发 
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的 软件 所 需要 的 输出 和 资源 。 计 划 必 须 包括 开发 测量 ， 以 便 评 价 软件 、 持 续 地 进行 
相应 调整 、 适 配 客户 需求 ， 以 及 持续 地 更 新 开发 计划 和 测量 计划 。 测 量 功能 本 身 也 
可 以 应 用 到 DevOps 过 程 中 ， 以 确保 使 用 了 合适 的 自动 化 工具 ， 以 及 正在 开展 有 效 的 





协作 等 。 
ON EET 
RJ 
持续 客户 反馈 与 优化 er 
+. 9: 


ry Lan 
AJ AJ 


Lr 


R 持续 发 布 与 部 署 


图 17-1 DevOps 参考 体系 结构 


e 开发 与 测试 : 关注 于 协作 开发 、 持 续集 成 新 代码 和 持续 测试 。 关 注 流水 线 化 开发 和 
测试 团队 的 能 力 。 有 用 的 工具 包括 对 测量 到 的 输出 进行 自动 化 追踪 测试 ， 以 及 支持 
在 隔离 但 真实 的 环境 中 进行 测试 的 虚拟 化 测试 床 。 

© 发 布 与 部 署 : 提供 自动 化 部 署 到 测试 和 产品 环境 中 的 持续 性 交付 流水 线 。 交 付 是 在 

一 个 利用 自动 化 技术 的 协作 环境 中 集中 管理 。 部 署 和 中 间 件 配置 也 是 自动 化 进行 的 ， 

并 最 终 形成 一 个 自 服务 模型 ， 为 独立 的 开发 者 、 团 队 、 测 试 者 和 部 署 管 理 员 提供 持 

续 构 建 、 供 应 、 部 署 、 测 试 和 升级 的 能 力 。 类 似 于 应 用 部 署 ， 基 础 设施 和 中 间 件 供 

应 能 力也 从 自动 化 模式 演化 到 自 服 务 模式 。 运 维 工程 师 不 再 人 工 调整 环境 ， 而 是 关 

注 于 优化 自动 化 过 程 。 

监测 与 优化 : 包括 持续 监测 、 客 户 反 馈 、 优 化 以 对 发 布 后 的 应 用 的 行为 进行 监测 、 

允许 业务 按 需 调整 它们 的 需求 等 行为 。 通 过 监测 客户 体验 来 优化 业务 系统 内 的 体验 。 

对 反映 业务 价值 的 客户 核心 性 能 指标 的 优化 是 项 目 持续 提升 计划 的 一 个 重要 部 分 。 

图 17-2 源 于 微软 白皮书 《企业 DevOps 》[MICR15]， 它 给 出 了 DevOps 的 另 一 个 重要 

的 特征 。DevOps 的 目标 在 于 提升 对 应 用 进行 全 生命 周期 管理 过 程 的 效率 和 效能 。 引 入 敏捷 

软件 开发 之 后 ， 一 些 机 构 开 发 了 应 用 生命 周期 管理 CALM) 实践 ， 以 便 将 业务 、 开 发 、QA 

和 运 维 功能 等 集成 到 一 个 有 效 的 循环 中 ， 从 而 实现 在 交付 持续 性 价值 方面 更 大 的 敏捷 性 。 


472 
l 
473 
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“应 用 生命 周期 管理 ”对 一 个 应 用 从 开始 到 终止 的 管理 和 控制 。 包 含 需求 管理 、 系 统 设 


计 、 软 件 开 发 和 配置 管理 ， 并 且 包 含 一 套 开 发 和 控制 项 目的 集成 工具 集 。 


缺少 能 直接 转化 为 
操作 的 需求 


缺乏 可 行 性 
分 析 





解决 生产 事故 的 
平均 时 间 很 高 









软件 的 设计 和 测试 未 达 软件 价值 
到 运行 标准 交付 
软件 没有 准备 
可 工作 的 
wat 软件 
a) ALM 中 的 障碍 
可 操作 的 验收 标准 
定义 
构思 
开发 集成 事件 管理 ， 以 降 
低 平均 解决 时 间 
可 工作 软件 的 
想法 
操作 
开发 操作 就 绪 软件 “ee 
部 署 自动 化 可 工作 的 
软件 
b ) DevOps 工 作 流 


图 17-2 ”现代 应 用 生命 周期 管理 


如 图 17-2a 所 示 ，ALM 实践 在 敏捷 和 有 效 交 付 最 终 产品 方面 遇 到 了 一 些 障碍 ， 而 出 现 
这 些 问题 的 关键 原因 在 于 开发 和 运营 功能 之 间 存 在 的 传统 鸿沟 。 这 里 所 示 的 一 个 关键 问题 就 
是 运营 需求 被 弱化 以 适应 功能 需求 所 带 来 的 危险 。 如 图 17-2b 所 示 ，DevOps 试图 解决 这 些 
障碍 。 

从 根本 上 来 说 ，DevOps 依赖 于 两 个 关键 的 基础 : 协作 和 自动 化 。 协 作 通 过 相应 的 管理 


[474] 策略 来 鼓励 和 要 求 软件 开发 及 部 署 过 程 中 的 各 种 行为 者 之 间 共 同 合作 ， 而 自动 化 则 由 支持 
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协作 的 工具 组 成 ， 并 被 设计 为 在 图 17-1 和 图 17-2 所 示 的 循环 过 程 中 实现 尽 可 能 多 的 自动 化 
操作 。 

许多 公司 现在 已 经 在 提供 DevOps 自动 化 工具 。 例 如 ， 微 软 2014 年 推出 了 许多 工具 作 
为 其 Visual Studio 产品 的 一 部 分 。Visual Studio 是 一 组 能 够 帮助 用 户 在 Microsoft 平台 和 云 
端 创建 应 用 程序 的 开发 人 员工 具 和 服务 。 在 这 些 新 推出 的 工具 中 ， 其 中 一 个 就 是 发 布 管理 
软件 ， 能 够 自动 完成 软件 程序 从 开发 到 产品 化 过 程 中 所 需 的 许多 工作 ， 例 如 向 相应 的 管理 
员 告 警 ， 以 及 准备 相应 的 产品 服务 器 来 运行 软件 等 。Microsoft 为 Visual Studio 引入 的 另 一 
个 DevOps 功能 称 为 云 部 署 项 目 ， 它 允许 机 构 在 新 应 用 程序 中 捕获 和 重用 配置 设置 信息 ， 以 
加 快 部 署 时 间 。 配 置 设置 信息 (或 蓝图 ) 可 以 在 虚拟 机 (VM) 中 捕获 ， 然 后 虚拟 机 就 可 以 在 
Microsoft Azure 云端 部 署 应 用 程序 。 微 软 还 推出 了 其 Application Insights 软件 ， 该 软件 提供 
了 一 种 对 应 用 程序 进行 测试 的 方法 ， 以 便 开 发 人 员 可 以 确定 它 是 否 正 常 工作 ， 以 及 用 户 是 如 
何 使 用 该 软件 程序 的 。 这 可 以 帮助 开发 人 员 精 确定 位 错误 ， 以 及 尽早 发 现 诸 如 因 重 新 设计 而 
导致 的 软件 功能 突然 失效 等 问题 。 


17.2.2 DevOps 需求 


IT 部 门 越 来 越 依赖 DevOps. PM, WEEL 3217-1 Dice 上 按照 区 域 排列 的 DevOps 
作 列 表 网 站 Dice 上 的 报告 [DICE15] 表示 ,“ 具 有 职位 列表 ( 2015 年 5 月 ) 
DevOps 和 工程 背景 的 高 级 系统 管理 员 正 处 在 他 们 城市 职位 数 
职业 生涯 的 最 好 时 期 。 在 像 硅谷 这 样 的 市 场 ， 如 波士顿 
何 才 能 够 招聘 到 DevOps 人 才 是 一 个 令 人 头疼 的 纽约 
问题 。DevOps 经 验 带 来 多 份 工作 机 会 、 竞 争 性 待 TRADE 
遇 以 及 不 断 上 涨 的 薪水 等 情况 并 不 罕见 .” 表 17-1 zuy 
显示 了 在 美国 6 个 城市 的 100 英里 ?半径 范围 内 对 
DevOps 工程 师 、 经 理 、 架 构 师 等 人 才 的 需求 数量 ， 
显然 DevOps 已 经 “成 为 ”技术 雇主 正在 寻求 的 技能 。 


17.2.3 用 于 网 络 的 DevOps 


RE DevOps 创建 和 发 展 的 初 囊 是 支持 应 用 程序 的 开发 和 部 嗜 ， 但 它 也 可 以 在 网 络 环境 
中 应 用 ， 这 是 因为 网 络 基础 设施 越 来 越 多 地 被 软件 定义 和 软件 驱动 。 

© 软件 定义 网 络 (SDN): SDN 在 软件 中 定义 网 络 行为 。 在 控制 平面 和 数据 平面 分 离 
的 基础 上 ， 位 于 控制 和 应 用 层 的 应 用 程序 建立 其 基本 功能 。 网 络 设 计 人 员 和 网 络 管 
理 员 需 要 能 够 快速 响应 不 断 变化 的 网 络 条 件 和 要 求 ， 以 及 新 的 客户 驱动 应 用 程序 的 

© 网 络 功 能 虚拟 化 (NFV): NFV 通过 部 署 虚 拟 计 算 、 存 储 和 网 络 功能 来 以 软件 的 方式 
定义 网 络 的 结构 和 功能 。NFV 软件 环境 很 复杂 ， 涉 及 某 个 主机 上 的 虚拟 化 网 络 功能 
(VNF) 与 管理 和 操作 软件 的 交互 等 问题 。 这 是 一 个 需要 对 不 断 变 化 的 条 件 和 需求 进 
行 快速 响应 的 环境 。 

© QoS/QoE: 服务 质量 (QoS )， 尤 其 是 体验 质量 (QoE) 的 需求 规定 了 一 个 由 最 终 用 户 
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的 分 析 状 况 所 驱动 的 过 程 ， 而 最 佳 服务 效果 则 是 建立 快速 的 开发 和 部 署 周期 ， 以 确 
保 网 络 能 够 对 最 终 用 户 的 需求 快速 做 出 响应 。 

© Z: 无 论 是 IaaS PaaS, 还 是 SaaS， 以 及 无 论 是 公共 云 还 是 私有 云 ， 云 管理 员 和 提 
供 商 都 需要 持续 不 断 地 修改 和 增强 云 产 品 。 为 了 满足 用 户 的 期 望 ， 这 些 修改 过 程 必 
须 以 敏捷 的 方式 进行 。 

e MEM (1oT): 虽然 物 联网 中 涉及 大 量 物 理 世 界 中 的 “ 物 "， 但 从 雾 计 算 边 缘 到 中 心 
应 用 平台 的 整个 体系 结构 ， 一 方面 需要 快速 响应 不 断 变化 的 外 界 条 件 以 提供 预期 的 
性 能 ， 另 一 方面 也 需要 不 断 升级 和 修改 网 络 来 处 理 快 速 变化 的 IoT 设备 组 合 。 

简 而 言 之 ，DevOps 方法 不 仅 适 用 于 应 用 程序 、Web 服务 器 软件 等 类 似 系统 开发 过 程 ， 
同样 也 可 以 应 用 于 网 络 基础 设施 。 对 于 那些 正在 设计 和 部 署 网 络 基础 设施 软件 ， 以 及 正在 根 
据 需 要 修改 网 络 基础 设施 的 网 络 管理 员 和 网 络 工 程 师 而 言 ，DevOps 方法 可 应 用 到 很 多 方面 ， 
包括 以 下 内 容 : 

476 e 加 强 与 网 络 运 营 人 员 的 合作 ， 以 期 预测 网 络 变化 对 日 常 运营 有 哪些 影响 ， 制 定 测量 
变更 影响 的 测度 ， 以 及 制定 在 开发 与 运营 之 间 进 行 反复 试验 的 过 程 。 

e 检查 软件 和 网 络 基础 设施 的 部 署 流程 ， 尤 其 重点 关注 管理 这 一 流程 的 过 程 ， 以 确定 

如 何 提 高 效率 和 消除 障碍 。 

e 采用 自动 化 工具 消除 重复 性 任务 。 

所 有 在 本 书 中 讨论 的 网 络 技术 都 适用 于 DevOps 方法, 但 也 许 最 突出 的 领域 是 云 计 
算 / 云 网 络 ， 该 领域 的 提供 商 似乎 已 经 走 在 了 应 用 DevOps 技术 的 前 沿 。 正 如 《为 什么 
DevOps 是 云 计算 应 用 的 CPR》[DICE13] 这 份 Dice 报告 中 所 指出 的 那样 ,“ 云 自然 就 适用 于 
DevOps， 因 为 它 主要 采用 基于 API 和 框架 驱动 的 模式 ， 可 以 轻松 地 加 入 到 自动 化 的 DevOps 
过 程 中 。 这 是 由 API 驱动 的 自助 服务 ， 云 计算 之 所 以 能 够 称 为 云 ， 其 关键 要 义 在 于 API 驱 
动 和 自 适应 服务 配置 等 特征 ， 因 此 Devops 天 然 适 用 于 云 计算 。 这 也 就 意味 着 在 云 中 取得 成 
功 或 获取 一 个 职位 的 最 好 方法 就 是 增强 脚本 和 API 编程 应 用 技能 。 此 外 ， 在 公共 云 提供 商 
API 或 私有 云 管理 框架 方面 的 工作 经 验 将 大 大 有 助 于 构建 相关 的 云 技 术 组 合 ， 从 而 使 你 对 洪 
在 (和 当前 ) 的 雇主 更 具 吸 引力 。 

《信息 周刊 》 上 的 一 篇 文章 [MACV15] 指出 ， 随 着 DevOps 战鼓 的 声音 日 渐 强烈 ， 网 
络 工程 师 的 一 个 共同 关注 点 就 是 可 编程 性 。 特 别 是 ， 工 程 师 可 能 也 需要 编写 代码 (可 能 会 
有 一 些 新 的 短语 ， 如 基础 设施 即 代 码 等 )。 他 们 需要 关心 他 们 目前 可 能 没有 的 某 些 技能 和 
技能 集合 。 有 两 件 事情 需要 说 明 。 首 先 ， 这 里 用 到 的 编程 语言 是 一 些 脚 本 语言 ， 而 不 是 诸 
如 C、C++、Java 等 其 他 大 型 软件 开发 语言 ， 网 络 工程 师 可 以 使 用 Python、Perl、Bash 和 
Curl 等 脚本 语言 工具 来 编写 能 够 运行 于 各 种 设备 上 的 常见 任务 。 为 了 将 这 种 脚本 方法 移植 到 
DevOps 领域 ， 网 络 工程 师 还 需要 学 习 一 些 与 网 络 DevOps 环境 关系 密切 的 工具 。 

一 个 典型 工具 就 是 版 本 控制 系统 ， 例 如 Git。 除 了 作为 软件 源 代码 的 存储 库 之 外 ， 版 本 
控制 系统 还 可 以 存储 路 由 器 、 防 火 墙 、 交 换 机 和 Apache Web 服务 器 等 基础 设施 的 配置 数 
据 。 在 版 本 控制 系统 中 维护 配置 数据 为 进行 变更 控制 商定 了 基础 ， 它 允许 我 们 跟踪 诸 网 络 中 
的 时 间 ， 包 括 何 时 引入 防火 墙 规则 ， 何 时 添加 Apache vhost 等 。 为 设备 任务 所 编写 的 脚本 
(例如 ， 在 Python 中 ) 也 可 以 存储 在 Git 中 ， 并 由 其 进行 版 本 管理 和 控制 。 进 一 步 ， 在 Git 
中 ,也 可 以 使 用 脚本 来 自动 化 地 完成 填充 版 本 控制 数据 的 大 部 分 任务 。 此 外 ， 还 可 以 通过 配 

置 管理 工具 (如 Puppet 或 Chef) 来 生成 存储 在 Git 中 的 模板 。 
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另 一 方面 就 是 ， 在 网 络 的 DevOps 中 ， 脚 本 语言 可 以 完成 许多 工作 ， 例 如 与 相关 人 员 合 
作 来 优化 流程 ， 以 协作 的 方式 管理 基础 设施 (综合 考虑 开发 、 运 营 和 用 户 需求 等 内 容 )。 但 
网 络 的 DevOps 不 仅仅 包括 这 些 内 容 ， 男 一 个 正在 进行 的 任务 就 是 确定 需要 测量 什么 (以 及 
如 何 测量 ) 以 满足 业务 优先 级 的 需求 ， 而 这 也 是 引入 DevOps 的 关键 原因 : 加 快 产品 上 市 时 
间 、 降 低 风 险 和 成 本 。 

即便 如 此 ， 熟 练 掌握 使 用 特定 软件 工具 和 软件 包 的 技能 仍 是 成 功 构 建 DevOps 的 好 方 
法 。Dice 报告 《 DevOps 工程 师 的 关键 技能 》[DICE14] 中 列 出 了 为 胜任 DevOps 角色 需要 掌 
握 的 以 下 四 个 主要 方面 的 技能 和 工具 集 。 

e Puppet, Chef, Vagrant, CFEngine, 以 及 Bofg2 : 保持 持续 性 的 系统 性 能 至 关 重 要 ， 
而 这 意味 着 系统 需要 能 够 正常 运行 和 可 用 ， 并 能 够 快速 可 靠 地 提供 响应 。 使 用 这 些 
配置 管理 工具 的 经 验 有 助 于 你 通过 可 重复 和 可 预测 的 方式 管理 软件 和 系统 中 的 变化 。 

e Jenkins, Maven, Ant, CruiseControl, 以 及 Hudson : 工作 中 的 一 个 关键 任务 就 是 能 
够 更 快 更 容易 地 创建 和 部 署 软件 。 使 用 这 些 工具 的 经 验 将 有 助 于 确保 你 拥有 玩 转 职 
场所 需要 的 资源 。 

e Git, SVN, CVS, Visual Studio 在 线 ， 以 及 Perforce: 为 了 保证 开发 人 员 之 间 不 会 
相互 影响 ， 版 本 控制 对 于 DevOps 至 关 重 要 。 使 用 这 些 源 代码 控制 系统 能 够 相互 协作 
进行 软件 项 目 开 发 ， 并 可 以 轻松 管理 更 改 和 更 新 。 

e Nagios, Munin, Zabbix, Sensu, LogStash, CloudWatch，Splunk， 以 及 NewRelic : 
作为 DevOps 专业 人 员 ， 必 须 始 终 关 注 性 能 。 尽 管 每 个 工具 的 具体 细节 并 不 相同 ， 但 
你 应 该 了 解 每 个 工具 背后 的 基本 理念 和 原则 ， 以 便 能 够 高 效 地 实现 它们 。 

针对 上 述 不 同方 面 的 技能 ， 如 果 对 其 中 某 一 类 技术 具有 丰富 经 验 ， 那 么 通常 只 需 几 周 的 

培训 就 可 以 很 好 地 掌握 其 他 几 类 技术 ， 并且 由 于 这 些 工具 中 的 许多 都 相对 较 新 ， 因 此 你 必须 
具有 相关 意愿 并 能 够 根据 需要 将 现 有 知识 应 用 于 新 的 角色 所 需要 的 工具 中 。 


17.2.4 DevOps 网 络 产品 


从 SDxCentral 所 发 布 的 最 新 年 度 NEV 报告 《SDxCentral 网 络 功 能 虚拟 化 报告 ,2015 版 》 
中 可 以 看 出 ， 越 来 越 多 的 公司 认识 到 现代 网 络 提供 商 对 DevOps 的 需求 。 以 下 公司 已 经 开始 
提供 DevOps 相关 产品 。 

e 博 科 移动 分 析 : 提供 完整 的 移动 网 络 可 见 性 功能 堆栈 。 其 模块 化 的 产品 架构 能 够 适 
用 于 DevOps 模型 ， 从 而 支持 快速 部 署 那些 完全 满足 移动 运营 商 独特 需求 的 自 定义 解 
决 方案 。 

e Red Hat 企业 Linux 原子 主机 : 一 种 NFV 软件 平台 ， 包 括 一 组 工具 以 支持 IT 机 构 快 
速 发 挥 DevOps 实践 所 带 来 的 好 处 。 具 体 而 言 ， 这 些 工 具 包 括 功能 的 快速 交付 和 持续 
改进 。 

e 超级 云 : 一 种 供应 商 中 立 的 NFV 服务 编排 平台 。 支 持 数据 中 心 和 云 服务 提供 商 部 署 
和 管理 VNF 和 SDN 应 用 程序 ， 基 于 DevOps 和 服务 自动 化 的 思维 进行 设计 ， 以 满足 
网 络 管理 员 支 持 IT 应 用 程序 开发 人 员 的 需求 。 

e CloudShell: 面向 DevOps 的 云 管理 平台 ,提供 对 由 裸 机 和 虚拟 化 组 件 所 组 成 的 复杂 
网 络 环境 进行 自助 式 访问 的 服务 。CloudShell 用 于 支持 DevOps 实验 室 和 数据 中 心 在 
开发 、 测 试 、 培 训 、 支 持 、 概 念 证 明和 开放 社区 等 方面 的 自动 化 。CloudShell 将 其 本 
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身 定 位 为 网 络 DevOps 的 领先 自动 化 平台 。 
在 未 来 几 年 内 ， 能 够 提供 反映 或 支持 DevOps 产品 的 NFV 和 SDN 相关 供应 商 的 数量 可 
能 会 急剧 增长 。 


17.2.5 思科 DevNet 


2015 年 ， 思 科 宣 布 了 一 种 名 为 DevNet 的 新 方法 ， 用 来 帮助 思科 客户 和 合作 伙伴 采用 
DevOps。DevNet 旨 在 成 为 一 个 企业 网 络 开发 人 员 的 社区 ， 负 责 开 发 能 够 支持 未 来 可 编程 网 
络 的 软件 应 用 程序 ， 而 这 些 开 发 人 员 可 能 来 自 其 客户 、 独 立 的 软件 供应 商 、 独 立 的 系统 集成 
商 ， 以 及 思科 合作 伙伴 等 。 

思科 DevNet 通过 其 合作 伙伴 Muleoft 提供 软件 开发 工具 包 (SDK)、 可 视 化 建 模 工具 、 
即 用 型 代码 示例 ， 以 及 更 易于 访问 的 基于 REST 的 API。 并 且 ，DevNet 是 一 个 社区 ， 成 员 
之 间 可 以 相互 依赖 以 共享 经 验 和 寻求 支持 。 此 外 ，DevNet 还 将 作为 思科 SDN 方法 ( 亦 即 其 
应 用 中 心 基 础 设施 ，Application Centric Infrastructurp) 的 教育 和 交付 工具 。 


17.2.6 有关 DevOps 当前 状态 的 小 结 


本 章 利用 相当 大 的 篇 幅 来 描述 Devops 的 原因 主要 有 以 下 两 个 。 首 先 ， 在 管理 通过 诸如 
NFV 和 SDN 等 技术 所 部 署 的 复杂 网 络 方面 而 言 ，DevOps 变 得 越 来 越 重要 。 其 次 ， 对 于 大 
部 分 有 强烈 事业 心 的 人 而 言 ， 目 前 其 关注 焦点 仍 在 于 SDN、NFV、QoE 等 技术 ， 对 于 深入 
了 解 掌握 DevOps 技术 的 重要 性 并 不 十 分 明确 。 事 实 上 ， 那些 具有 DevOps 技能 的 员工 或 求 
职 者 将 在 个 人 发 展 方面 更 加 具有 竞争 优势 。 


17.3 培训 与 认证 


本 书 中 所 讨论 的 技术 正在 迅速 成 为 网 络 行业 以 及 私营 部 门 和 政府 用 户 的 主导 者 。 坚 持 阅 
读本 书 至 此 的 网 络 专业 人 员 现 在 应 该 明白 需要 学 习 这 些 技 术 来 不 断 提升 他 们 的 竞争 力 。 随 着 
技术 的 更 新 换代 ， 相 关 专 家 警告 网 络 从 业者 : 除非 他 们 能 够 不 断 学 习 新 技能 ， 否 则 将 被 时 代 
所 抛弃 。 培 训 和 认证 是 进行 技能 学 习 的 理想 工具 。2013 年 的 一 项 针对 700 名 网 络 专 业 人 员 
的 调查 [BORT13] 显示 ， 有 60% 的 受 访 者 表示 认证 证 书 带 来 了 新 的 工作 ; 50% 的 人 表示 他 
们 获得 了 更 多 的 工资 ,其 中 有 40% 的 人 表示 自己 的 薪水 由 于 认证 证 书 而 直接 上 涨 了 10% 以 
E; 而 有 29% 的 受 访 者 表示 认证 证 书 为 他 们 带 来 了 职位 的 提升 。 

幸运 的 是 ， 有 越 来 越 多 的 机 会 来 学 习 如 何 通过 认证 计划 掌握 并 使 用 新 的 网 络 技术 。 
17.3.1 认证 计划 l 

K 17-2~ # 17-4 展示 了 一 些 与 SDN、 网 络 虚拟 化 以 及 云 等 内 容 相 关 的 认证 计划 ， 其 中 
许多 都 着 重 突出 提供 培训 和 认证 公司 的 产品 ， 因 此 网 络 专业 人 员 可 以 选择 那些 能 够 提高 他 们 
现 有 职位 的 技能 的 认证 计划 ， 或 者 那些 能 够 提高 他 们 想 要 寻求 的 职位 所 需要 技能 的 认证 计 
划 。 对 于 物 联网 ， 传 统 来 源 的 认证 项 目 很 少 ， 最 近 推 出 的 一 个 认证 项 目 是 思科 工业 网 络 专家 
证 书 。 该 培训 和 认证 计划 主要 面向 制造 、 过 程控 制 和 油气 行业 等 领域 的 信息 技术 OT) 和 运 
营 技术 (OT) 专业 人 员 ， 他 们 将 参与 网 络 工业 产品 和 解决 方案 的 实施 、 运 营 和 支持 。 我 们 可 
以 期 待 以 后 将 看 到 更 多 这 样 的 认证 项 目 。 

K 17-5 列举 了 网 络 相关 领域 的 其 他 认证 项 目 。 
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表 17-2 SDN 认证 计划 


认证 计划 描述 
开放 网 络 基金 会 (ONF) 认证 SDN 助理 该 认证 的 目的 是 验证 SDN 中 基础 概念 相关 的 知识 
针对 那些 积极 从 事 SDN 生态 系统 中 更 多 技术 性 工作 的 SDN 专业 
ONF 认证 SDN 工程 师 人 人员。 在 这 种 情况 下 ，ONF 认证 SDN 工程 师 证 书 (OCSE) 将 验证 


在 SDN 生态 系统 中 工作 的 技术 人 员 的 技能 、 知 识 和 能 力 


HP ASE - SDN 应 用 开发 人 员 认证 对 SDN 环境 和 SDN 应 用 程序 用 例 的 理解 ， 以 及 编写 、 测 试 


和 调试 SDN 应 用 程序 的 能 力 
验证 是 再 能 够 安装 、 配 置 和 管理 NSX 虚拟 网 络 实现 ， 无 论 底层 
alias i l 1 
VMware 认证 专家 网 络 虚 拟 化 (VCP-NV) 的 物理 架构 如 何 
NESTS 专 为 IT 专 业 人 人 员 设计 ， 通 过 获得 更 深入 的 NFV 专业 知识 ,扩展 
er EN A 他 们 的 技能 和 对 公司 的 贡献 
表 17-3 ”网 络 虚 拟 化 认证 计划 
认证 计划 描述 
目标 群体 是 那些 设计 ， 开 发 和 构建 业务 应 用 程序 日 正在 寻求 利用 新 开放 网 络 环境 
思科 业务 应 用 工程 师 专家 | 的 可 编程 能 力 的 应 用 工程 师 


目标 群体 是 那些 专注 于 网 络 应 用 层 开 发 ， 以 及 为 服务 提供 商 、 校 园 和 数据 中 心 提 
思科 网 络 可 编程 开发 专家 ”| 供用 例 的 软件 程序 员 ， 该 认证 和 课程 能 够 培养 在 可 编程 环境 中 开发 网 络 应 用 所 需 的 
基础 技能 
目标 群体 是 那些 具有 体系 结构 和 应 用 程序 开发 专业 知识 的 工程 师 。 通 过 本 课程 将 
思科 网 络 可 编程 设计 专家 ”| 学 习 如 何 更 好 地 收集 客户 需求 ， 并 将 此 信息 与 应 用 知识 相 结合 来 更 好 地 利用 基础 设 
施 ， 以 及 将 需求 转化 到 一 种 推荐 的 开放 式 基础 设施 之 上 
目标 群体 是 那些 将 网 络 应 用 程序 部 署 到 可 编程 环境 并 使 其 运行 的 工程 师 。 该 认证 
思科 网 络 可 编程 工程 专家 “| 涵盖 的 关键 技能 包括 实现 由 网 络 设计 师 和 架构 师 设计 的 开放 网 络 基础 设施 并 对 其 进 


行 故障 排除 
表 17-4 云 计 算 认 证 计划 

认证 计划 描述 

亚马逊 Web 服务 (AWS) 认证 解决 方案 | 专 为 那些 拥有 在 AWS 平台 上 进行 分 布 式 应 用 程序 和 系统 设计 经 验 
架构 师 一 助理 的 IT 专业 人 员 而 设计 

on mgr 该 认证 的 理想 候选 人 是 在 AWS 平台 上 设计 分 布 式 应 用 程序 和 系统 

AWS AEC REN OR 方面 具有 先进 技能 和 经 验 的 专业 人 员 

AWS 认证 开发 人 员 一 助理 针对 那些 在 开发 和 维护 AWS 应 用 方面 具有 技术 和 知识 的 人 员 
aS 
sciatica RAE ANS FREON, RAMEE RTE ACRES 
a 3 专 为 那些 在 AWS 上 配置 、 运 行 和 管理 分 布 式 应 用 系统 方面 具有 专 
AWS 认证 DevOps 工程 师 一 专家 长 的 人 员 而 设计 


目标 群体 是 那些 希望 在 云 计算 方面 的 技能 和 经 验 得 到 认可 的 开 专 

IBM 认证 解决 方案 顾问 一 云 计算 架构 V4 | 业 人 员 。 它 传授 的 知识 包括 云 计 算 的 概念 和 优势 、 云 计算 设计 原则 、 
IBM 云 计算 架 构 和 IBM 云 计算 解决 方案 

IBM 认证 解决 方案 架构 师 一 云 计 算 基 础 | 确认 那些 在 IBM 云 计算 基础 设施 的 设计 、 规 划 、 架 构 和 管理 原则 方 


设施 V1 面具 有 丰富 知识 的 人 员 
目标 群体 是 那些 对 微软 的 领先 技术 感 兴趣 并 希望 改进 和 证 明 自 己 的 
微软 认证 解决 方案 专家 : MAB 知识 与 技能 的 人 ， 该 认证 提供 了 在 Windows Server 和 System Center 的 
帮助 下 构建 私有 云 解 决 方案 的 技能 
对 于 那些 具有 以 前 使 用 Azure 技术 的 开发 人 员 和 IT EWA, 微软 
微软 Azure 中 的 微软 专家 认证 提供 三 项 专业 认证 ， 以 扩展 他 们 的 技能 ， 使 他 们 能 够 着 眼 于 未 来 的 业 


务 需 求 
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虚拟 化 认证 


79 X = Æ 


认证 计划 


Salesforce 管理 员 
Salesforce 实施 专家 


Salesforce Pardot 顾问 


Salesforce 开发 人 员 


Salesforce 技术 架构 师 


Google 认证 开发 者 


Google 认证 云 平台 开发 者 


描述 

目标 群体 是 那些 具有 Salesforce 管理 员 经 验 的 人 员 

目标 群体 是 那些 具有 在 面向 顾客 的 角色 中 应 用 销售 云 解 决 方案 经 验 
的 人 员 

专 为 那些 具有 Pardot 营销 自动 化 技术 应 用 经 验 的 IT 专 家 设计 ,他 
们 应 当 在 下 述 领 域 具有 深入 的 知识 :对 用 户 和 潜在 客户 的 了 解 、 自 动 
化 和 分 段 工 具 ， 以 及 利用 面向 客户 的 角色 建立 电子 邮件 、 表 单 和 登录 
页 面 

针对 那些 有 云 开发 经 验 并 希望 展示 他 们 在 利用 Force.com 平台 创建 
定制 的 应 用 程序 和 分 析 解 决 方案 方面 的 知识 、 技 能 和 能 力 的 人 

目标 群体 为 那些 具有 测量 客户 架构 ， 以 及 在 Force.com 平台 上 设计 
安全 、 高 性 能 技术 解决 方案 经 验 的 人 

要 获得 Google 认证 开发 者 的 认证 ， 相 应 候选 人 必须 至 少 通过 以 下 考 
试 之 一 : App Engine, ZA, Cloud SQL, BigQuery: 计算 引擎 

要 获得 Google 认证 云 平台 开发 者 的 认证 ， 相 应 候选 人 必须 通过 
Google 认证 开发 者 中 的 全 部 5 项 考试 


表 17-5 ”其 他 网 络 相 关 的 认证 计划 


WE 
VMware 认证 助理 - 
数据 中 心虚 拟 化 (VCA- 

DCV) 


VMware 认证 专业 人 
员 5- 数据 中 心虚 拟 化 
(VCP5-DCV ) 


VMware 认证 高 级 专 
业 人 员 5- 数 据 中 心 管 
理 (VCAP5-DCA) 


VMware 认证 高 级 专 
业 人 员 5- 数 据 中心 设 
计 (VCAP5-DCD) 


VMWare 认证 设计 专 
家 5- 数据 中 心虚 拟 化 
(VCDX5-DCV) 





描述 


使 IT 专业 人 员 在 讨论 数据 中 心虚 拟 化 以 及 如 何 使 用 vSphere 虚拟 化 数 
据 中 心 时 具有 更 高 的 可 信和 度 


旨 在 使 IT 专业 人 员 能 够 有 效 地 安装 、 部 署 、 扩 展 和 管理 VMware 
vSphere 环境 ， 并 提供 至 少 6 个 月 的 VMware 基础 设施 技术 经 验 技 能 训 
练 。 候 选 人 必须 完成 VMware 授权 的 培训 课程 和 VMware 技术 的 实践 
训练 

要 获得 此 项 认证 , IT 专业 人 员 必 须 完成 VMware 授权 的 培训 课程 ， 
并 利用 VMware 技术 进行 实际 操作 。 候 选 人 将 能 够 获得 高 效 安装 、 部 
署 、 扩 展 和 管理 VMware vSphere 环境 所 需 的 知识 ， 以 及 至 少 6 个 月 的 
VMware 基础 架构 技术 实践 经 验 技能 

要 求 候 选 人 通过 一 个 在 实验 室内 组 织 的 考试 ， 在 该 考试 中 利用 实际 设 
备 完成 预 设 的 任务 ， 以 验证 相关 人 员 在 安装 、 配 置 和 管理 大 型 复杂 虚拟 
化 环境 方面 的 技能 。 通 过 此 项 考试 的 IT 专业 人 员 将 获得 一 个 高 级 认证 ， 
表明 他 们 在 VMware vSphere 5 方面 拥有 的 专业 知识 ， 以 及 使 用 自动 化 工 
具 和 构建 虚拟 化 环境 的 能 力 

目标 群体 是 那些 在 VMware 企业 部 署 方面 具有 高 度 熟 练 技能 的 顶尖 设 
计 架 构 师 。 此 项 认证 计划 专 为 想 要 验证 和 展示 其 在 VMware 技术 方面 的 
专业 知识 的 高 级 专业 人 员 而 设计 。 该 认证 通过 “设计 一 答辩 ”过 程 完 成 ， 
所 有 候选 人 必须 在 其 他 资深 VCDX-DCYV 专家 所 组 成 的 委员 会 面前 提交 
并 有 效 保护 一 个 可 随时 投产 的 VMware 解决 方案 


itrix 认证 助理 - 虚 | 验证 IT 操作 人 员 和 管理 员 在 针对 XenDesktop 7 解决 方案 进行 管理 、 


C 
拟 化 (CCA-V) 

Citrix 认证 专业 人 
员 一 虚拟 化 (CCP-V) 


维护 、 监 测 和 故障 诊断 方面 的 技能 和 知识 
验证 经 验 丰 富 的 IT 解决 方案 构建 者 (如 工程 师 和 顾问 ) 在 安装 、 配 置 
和 推出 常见 的 XenDesktop 7 解决 方案 方面 的 技能 和 知识 


itrix 认证 专家 -如 | 确认 经 验 丰 富 的 IT 解决 方案 设计 师 (如 架构 师 、 工 程 师 和 顾问 ) 在 评 


C 
拟 化 (CCP-V) 


估 和 设计 综合 性 XenDesktop 7 解决 方案 方面 的 技能 和 知识 
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(4) 
认证 类 型 描述 
7 专 为 那些 对 网 络 感 兴趣 并 希望 在 这 一 领域 开始 职业 生涯 的 人 而 设计 ， 
ihc PAHE LYE Jy Bal Vie 
专 为 那些 已 经 具有 人 门 级 认证 或 者 已 经 具有 一 定 的 网 络 经 验 (如 故障 
思科 助理 级 认证 。 | 诊断 或 网 络 设计 等 ) 的 候选 人 所 设计 。 这 些 认证 是 网 络 领域 从 业者 的 重 
要 基石 
目标 群体 是 那些 在 网 络 领域 已 经 具有 重要 经 验 和 技能 并 准备 好 进入 
思科 专业 级 认证 。 | 下 一 个 层次 的 网 络 专业 人 员 。 这 些 认证 对 于 那些 想 要 在 网 络 中 探索 新 内 
容 、 尝 试 不 同 的 角色 和 职责 的 候选 人 而 言 是 理想 的 选择 
_— Co 目标 群体 是 那些 具有 专业 级 网 络 工程 技能 和 熟练 掌握 思科 产品 及 解决 
思科 专家 级 认证 。 ”| 方案 的 网 络 专家 。 这 些 认证 是 为 那些 想 要 深化 其 网 络 专业 知识 和 挑战 性 
任务 的 人 员 所 设计 
确认 其 深厚 的 技术 专长 ， 这 些 认证 是 思科 所 提供 的 最 高 级 别 的 认证 
只 博 服务 提供 商 路 由 | ， 该 认证 专 为 那些 具有 在 阶 博 网 络 路 由 /交换 端 到 端 环境 中 的 基础 设施 
Pier 或 接 人 产品 方面 的 使 用 经 验 的 用 户 而 设计 ， 主 要 用 在 电信 领域 或 财富 
100 强 企业 环境 中 
专 为 那些 在 小 型 和 大 型 企业 环境 中 工作 的 人 员 所 设计 ， 这 些 企业 的 网 
该 认证 主要 面向 设计 和 实现 用 博 安全 网 络 的 人 员 
r 项 目 管理 协会 (PMI) 的 此 项 认证 专门 针对 那些 经 验 不 足 的 项 目 实习 
者 所 设计 ， 这 些 人 希望 展示 其 对 项 目 管理 的 投入 ， 并 希望 提高 管理 大 型 
项 目的 能 力 以 及 承担 额外 的 责任 
= 专 为 那些 在 机 构 中 积极 使 用 敏捷 实践 的 用 户 以 及 正在 采用 人 敏捷 方法 的 
aa 人 员 所 设计 ， 在 展示 对 这 种 快速 增长 的 项 目 管理 方式 的 投入 方面 ， 这 一 
认证 是 一 个 理想 的 选择 
项 目 管理 专业 人 员 | < 为 那些 想 要 在 领导 和 指导 项 目 团队 方面 展示 其 能 力 的 人 所 设计 。 该 
a bi 认证 的 理想 候选 人 是 经 验 丰富 的 项 目 经理 ， 且 希望 强化 其 技能 、 在 雇主 
面前 脱颖而出 并 最 大 化 他 们 的 收益 预期 
持 有 这 一 认证 的 人 主要 是 投资 组 合 经 理 ， 希 望 能 够 证 明 他 们 在 管理 和 
员 (PfMP) 排列 一 系列 项 目 和 计划 ， 进 而 实现 组 织 战略 和 目标 方面 的 能 力 
PMI 业务 分 析 专业 人 | 专 为 那些 从 事 工程 和 项 目的 业务 分 析 师 以 及 那些 将 业务 分 析 作 为 其 工 
项 目 管理 专业 人 员 | 该 认证 的 候选 通常 已 经 是 项 目 经 理 ， 希 望 能 够 验证 他 们 管理 多 个 复 
pare 杂项 目 并 根据 组 织 目标 安排 结果 的 能 力 。 专 业 人 员 可 以 使 用 此 认证 来 增 
加 知名 度 并 交流 宝贵 的 技能 
微软 MCSE。 企业 设 | 专 为 那些 具有 在 自主 设备 (BYOD) 企业 内 进行 设备 管理 技能 的 候选 
Psi 人 而 设计 。 具 有 此 认证 的 候选 人 可 以 像 传统 的 桌面 支持 技术 人 员 一 样 进 
行 BYOD 设备 和 应 用 程序 的 企业 管理 
微软 MCSE: 消息 目标 群体 为 那些 对 基于 云 的 服务 (如 Microsoft Office 365 ) 感 兴 趣 的 
on IT 专业 人 员 ， 该 认证 能 够 使 候选 人 胜任 网 络 和 计算 机 系统 管理 方面 的 
系统 工程 师 认证 职位 


专 为 那些 希望 在 工作 场所 创建 一 致 性 通信 体验 的 人 而 设计 。 该 认证 能 
够 使 候选 人 胜任 网 络 和 计算 机 系统 管理 方面 的 职位 

专 为 那些 希望 验证 他 们 的 技能 和 知识 、 具 有 丰富 经 验 的 系统 管理 
员 所 设计 。 对 于 那些 已 经 参加 过 Red Hat 系统 管理 [ 和 下 并 希望 获得 
RHCSA 认证 的 学 生 ， 这 也 是 有 帮助 的 


微软 MCSE: 通信 


Red Hat 认证 系统 管 
理 员 (RHCSA) 
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(2%) 
认证 类 型 描述 
, Red Hat 认 证 工程 师 对 于 已 经 通过 RHCSA 认证 ， 并 希望 获得 更 高 级 别 的 认证 的 IT 专业 人 
系统 工程 师 认证 ACES ea 尚未 获得 认证 的 有 经 验 的 高 级 系统 管理 员 可 能 也 会 对 此 认证 


全 球 信 息 保证 认证 专 为 那些 希望 了 解 IT 系统 在 安全 任务 方面 的 实际 操作 技能 的 专业 人 
(GIAC) 安全 要 素 士 所 设计 。 此 认证 的 理想 候选 人 需要 对 信息 安全 的 理解 不 仅仅 停留 在 简 
(GSEC) 单 的 术语 和 概念 之 上 

国际 信息 系统 安全 





认证 联盟 (ISC) 认 证 | 这 一 认证 的 理想 候选 人 是 信息 保障 专家 ， 他 们 知道 如 何 定义 信息 系统 
信息 系统 安全 专业 人 员 | 的 架构 、 设 计 、 管 理 和 控制 ， 以 确保 业务 环境 的 安全 
IT 安全 认证 (CISSP) 


(scy 系统 安全 认证 | ， 目 标 群 休 是 那些 在 IT 实践 操作 方面 具有 熟练 技术 和 实际 安全 知识 的 人 
ep oe 员 。SSCP 能 够 确认 执业 者 具有 下 述 能 力 : 根据 信息 安全 策略 和 规则 来 实 
现 、 监 测 并 管理 IT 基础 设施 ， 以 确保 数据 的 机 密 性 、 完 整 性 和 可 用 性 
ISACA 认证 信息 安 | “本 认证 的 目标 群体 为 那些 倾向 于 组 织 安 全 并 和 希望 展示 在 信息 安全 计划 
te 与 更 广泛 的 业务 目标 之 间 建 立 关系 的 能 力 的 候选 人 。 该 认证 确保 信息 安 
全 ， 以 及 信息 安全 计划 的 开发 和 管理 等 方面 的 知识 


17.3.2 IT 技能 


在 TechPro Research 发 起 的 一 项 全 球 调查 中 [TECH14]， 对 1156 位 受 访 者 的 调查 显示 ， 许 
多 人 担心 他 们 目前 的 IT 技能 会 过 时 。 为 了 避免 过 时 ， 许 多 受 访 者 正在 计划 获得 额外 的 IT 认证 
或 学 位 ， 其 中 57% 的 人 计划 参加 一 个 在 目前 的 工作 岗位 之 内 或 者 之 外 的 开 认证 计划 。 网络 专 
业 人 员 有 很 大 的 机 会 获得 这 些 认 证 ， 并 利用 他 们 所 获得 的 教育 来 保证 工作 职位 的 充分 安全 性 。 

在 考虑 可 能 需要 掌握 什么 样 的 技能 时 ，Dice 网 站 的 技能 需求 排名 是 一 个 非常 有 用 的 工 
具 。 其 中 一 些 与 网 络 职 位 没有 直接 关系 ， 但 鉴于 新 的 网 络 环境 所 具有 的 协作 性 特征 ， 这 些 技 
能 可 以 帮助 美化 网 络 专业 人 员 的 简历 。 表 17-6 显示 了 最 新 Dice 收入 调查 中 具有 最 高 工资 的 
技能 ， 而 表 17-7 则 显示 了 需求 增长 最 快 的 技能 。 


表 17-6 高 收入 技能 
技能 平均 工资 (美元 ) 
PaaS 130 081 
Cassandra Facebook 开发 的 一 套数 据 库 管 理 系统 128 646 
Google 提出 的 编程 模型 ， 用 于 在 大 型 服务 器 群集 上 处 理 庞 大 的 数据 集 。 它 
包括 分 布 、 并 行 和 容错 功能 


Cloudera Impala | ”开源 的 MPP SQL 查询 引擎 ， 用 于 挖掘 存储 在 Apache Hadoop 集群 中 的 数据 126 816 
一 个 开源 、 非 关系 型 、 分 布 式 的 数据 库 ， 参 考 Google 的 BigTable 模型 实 


MapReduce 127 315 








ee 现 ， 采 用 Java 编程 语言 编写 

Pig 在 Hadoop 中 使 用 的 MapReduce 编程 工具 124 563 
高 级 业务 应 用 程序 设计 。 一 种 类 似 于 COBOL 的 高 级 编程 语言 ， 用 于 开发 

ABAP SAP 应 用 程序 124 262 

Chef 123 458 

Flume 123 816 
Apache 软件 基金 会 的 一 个 开源 项 目 ， 它 提供 了 一 个 软件 框架 来 将 应 用 

Hadoop 分 布 在 服务 器 集群 上 。 旨 在 处 理 大 量 的 数据 ， 实 现 过 程 中 受到 了 Google 121 313 





MapReduce 的 编程 模型 和 文件 系统 的 启发 


AR: 2015 年 Dice Tech 薪水 调查 。 
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表 17-7 增长 最 快 的 热门 技能 


技能 平均 工资 (美元 ) 


一 个 开源 的 MPP SQL 查询 引擎 ， 用 于 挖掘 存储 在 Apache Hadoop 集群 中 














Cloudera Impala 的 数据 139 784 
专 为 组 织 和 管理 创意 资产 而 设计 ， 在 营销 人 员 、 广 告 代 理 、 创 意 专业 人 员 
Adobe 体验 经 理 | 以 及 进行 内 容 制作 的 其 他 人 员 中 颇 受 欢迎 abit 
Ansible 124 860 
— 想 要 快速 构建 i0S 和 Android 应 用 程序 的 开发 人 员 可 以 使 用 此 工具 以 C TEEL 
# 进行 跨 平台 开发 
OnCue 一 种 基于 Web 的 视频 流 服务 125 067 
这 种 R 语言 (一 种 统计 编程 语言 ， 已 经 证 明 对 于 熟练 开发 人 员 而 言 非常 有 
RStudio en f : 117 257 
价值 ) 的 集成 开发 环境 允许 团队 共享 工作 空间 
ET CY 
Pascal 77 907 
Arei 一 种 由 Apache 软件 基金 会 所 开发 、 用 于 维护 实时 数据 源 的 开源 工具 ， 它 184950 
能 够 处 理 数 千 个 客户 端 每 秒 数 百 兆 字 节 的 读 写 操作 
HA: 按照 流行 度 降 序 排列 。 这 些 不 是 目前 最 需要 的 技能 ， 而 是 最 近 需 求 增长 最 快 的 技能 。 
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: Dice, 2015 年 4 月 。 


在 线 资源 


有 许多 在 线 资源 可 以 帮助 你 保持 和 提升 职业 ， 简 单列 举 如 下 。 


ACM 职业 资源 : ACM 是 CS 职业 信息 的 一 个 优秀 来 源 ， 其 资源 包括 以 下 内 容 : 

E 毕业 生 在 线 资源 ， 它 具有 一 个 有 用 的 职业 网 站 链接 列表 (http://www.acm.org/ 
membership/mem bership/student/resources-for-grads ) 

m ACM 职业 和 就 业 中 心 ( http://jobs.acm.org/) 是 计算 机 行业 求职 者 和 雇主 互相 联 
系 的 地 方 。 

m 计算 机 职业 网 站 ( http://computingcareers.acm.org/) 为 计算 机 科学 相关 的 职业 准 
备 提 供 了 相应 的 指导 和 资源 。 

IEEE 简历 实验 室 : 一 种 在 线 服 务 ， 人 允许 IEEE 成 员 使 用 针对 求职 过 程 中 每 个 步骤 所 

量 身 定制 的 专门 工具 来 设计 简历 。 优 秀 的 资源 ( https://ieee.optimalresume.com/index. 

php). 

IEEE 计算 机 学 会 建立 您 的 职业 生涯 ( http://www.computer.org/web/careers ) : 职业 

信息 的 男 一 个 优秀 来 源 。 

IEEE 工作 站 点 网 站 : 另 一 个 优秀 的 职业 信息 来 源 ， 以 及 一 些 具体 的 工作 线索 (http:// 

careers.ieee.org/). 

ComputerWorld IT 专题 中 心 ( http://careers.ieee.org/) : 内 容 包 罗 万 象 ， 包 括 新 闻 、 

白皮书 、 职 业 中 心 、 深 入 报道 等 。 

计算 机 就 业 (http://computerjobs.com/us/en/IT-Jobs/): 列 出 了 数 千 个 可 搜索 的 就 业 

机 会 ， 按 照 大 城市 市 场 和 技能 集 进行 分 类 。 

职业 概览 ( http://www.careeroverview.com/): 包括 工作 、 求 职 网 站 和 就 业 资源 ， 以 

便 专 业 人 员 寻 找 计 算 机 、 信 息 技术 以 及 其 他 高 科技 领域 的 就 业 机 会 ， 是 一 个 非常 好 





491 
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的 链接 来 源 。 
e DICE (http://www.dice.com/) : 经 常 被 评 为 全 球 信息 技术 行业 最 佳 就 业 网 站 。 网 站 
还 包括 每 月 关于 时 事主 题 的 文章 、 薪 资 调 查 和 需求 技能 的 讨论 等 。 
你 可 能 会 发 现 另 一 个 有 用 的 资源 是 我 在 http://www.computersciencestudent.com 上 维护 
的 “计算 机 科学 学 生 资 源 ”( Computer Science Student Resources) 网 站 ， 这 个 网 站 的 目标 群 
体 是 专业 人 员 和 学 生 。 该 网 站 的 目的 是 为 计算 机 科学 的 学 生 和 专业 人 员 提 供 文档 、 信 息 和 链 
接 。 其 中 链接 和 文档 分 为 下 述 几 个 类 别 。 
o 数学 : 包括 基础 数学 复习 、 排 队 分 析 入 门 、 数 字 系统 入 门 ， 以 及 到 许多 数学 站 点 的 
链接 。 
e 操作 方法 : 有 关 文 献 检索 、 家 庭 作业 问题 求解 、 技 术 报 告 撰写 ， 以 及 技术 演示 报告 
准备 等 方面 内 容 的 建议 和 指导 。 
e 研究 资源 : 到 一 些 重要 论文 、 技 术 报 告 和 参考 书目 的 链接 。 
e 写作 : 一 些 能 够 帮助 提高 写作 技巧 的 有 用 的 网 站 和 文档 。 
e 其 他 有 用 资源 : 大 量 其 他 方面 的 有 用 文档 和 链接 。 
e 职业 : 一 些 与 职业 建设 有 关 的 链接 和 文档 。 此 页 面包 括 到 本 章 前 面 列 出 的 所 有 网 站 
的 链接 ， 此 外 还 有 其 他 一 些 更 多 的 内 容 。 
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Security as a Service (安全 即 服务 )，453-456 
sharing vendor resources (共享 供应 商 资源 )， 
449 
software isolation (软件 隔离 )，448 
subscriber protection (用 户 保 护 )，450 
threats (威胁 )，449-452 
trust (信任)，447 
services (服务 ) 
CaaS, 355 ‘ 
cloud capability types ( 云 能 力 类 型 )，356 
CompaaS, 356 
DSaaS, 356 
emerging (#24), 357 
IaaS, 354-355 
NaaS, 356 
PaaS, 353 
SaaS, 352-353 
XaaS, 357-358 
storage (FF if), 28, 350 


traffic flow, (流量 )，48 
intercloud ( 云 间 )，50 
intracloud ( 云 内 部 )，49 
OSS, 50 
Cloudera Impala, 488-489 
CloudNaaS ( Cloud Network as a Service, 
CloudNaaS 云 网 络 即 服务 )，164-168 
architecture (体系 结构 )，167 
framework (框架 )，165 
IaaS, 166 
VM, 166 
Cloud Security Alliance ( 云 安 全 联盟 )，453 
Cloud Security as a Service ( 云 安全 即 服 务 ) A 
JL SecaaS 
cloud service management ( 云 服务 管理 )，364 
CloudShell DevOps related products ( CloudShell 
DevOps 相关 产品 )，479 
CM (Control Manager， 控 制 管理 员 )，417-420 
CoAP ( constrained application protocol， 受 限 应 
用 协议 )，411-414 
code-on-demand constraint( REST, EREA 
束 )，130 
codepoints (代码 点 )，280 
cognitive processing ( 认 知 处 理 )，307 
collaboration (合作 )，474 
collaboration/processes level (IWF loT referen- 
cemodel) (协作 /处 理 层 (IWF loT 参考 模 
型 ))，407 
commercial off-the-shelf(COTS ， 商 用 现货 ) 184 
Communication object (通信 对 象 )，338 
communications (通信 ) 
IoT devices (IoT 设备 )，399 
networks (IoT) (网络 (IoT))，396 
unified (统一 ) 
audio conferencing (音频 会 议 ) 34 
benefits (好 处 )，36 
convergence (汇聚 )，35 
defined (定义 )，33 
elements (元 素 )，33-35 
instant messaging (即时 通信 )，34 
IP enabling contact centers (IP 使 能 联系 中 心 )， 
35 
mobility (移动 性 )，35 
presence (在 场 信息 )，35 


RTC dashboard (RTC 仪表 盘 )，33 
unified messaging (统一 消息 )，34 
video conferencing (视频 会 议 )，34 
web conferencing (网 络 会 议 )，34 
VLAN membership (VLAN 成 员 )，236 
VNFC to VNFC (VNFC 到 VNFC), 215-216 
Communications as a Service (CaaS， 通 信 即 服 
务 )，355-357 
community cloud infrastructure, (社区 云 基础 设 
施 )，360 
CompaaS (Compute as a Service， 计 算 即 服务 )， 
356 
components ( loT-enabled things) 组 件 (支持 
loT 的 物体 ))，377 
actuators (执行 器 )，380-381 
microcontrollers ( 微 控制 器 )，381-386 
RFID technology (RFID 技术 )，387-392 
sensors (传感器 )，377-379 
transceivers (收发 器 )，386 
Compute as a Service ( CompaaS， 计 算 即 服务 ) 
356 
compute domain (计算 域 ) 
defined (定义 )，199 
elements (元 素 )，205-208 
eswitch, 205 
NFV, 187 
NFVI nodes (NFVI 44), 206-208 
compute nodes (计算 结 点 )，206 
Computer Jobs website (计算 机 职业 网 站 )，490 
Computer Science Student Resources website 
(计算 机 科学 学 生 资 源 网 站 )，490 
ComputerWorld IT Topic Center website 
(ComputerWorld/IT 专题 中 心 网 站 )，490 
conditioning traffic ( DiffServ) (流量 调节 ( Diff- 
Serv)), 281,285 
conferencing (i), 34 
confidentiality (机 密 性 ) 
security requirement (安全 要 求 )，435 
TLS，438 
configuring (配置 ) 
DiffServ, 284 
LANs (局 域 网 )，231 
NFV, 188-189 
QoE monitoring (QoE 监控 )，335 
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VLAN, 234 
congestion (拥塞 ) 
avoidance (避免 )，270 
controlling (控制 )，64 
backpressure (ÆJI), 64 
choke packets (阻塞 分 组 )，65 
explicit signaling (EA S), 66-67 
implicit signaling ( 隐 式 信号 )，65 
ISA, 273 
TCP, 267 
effects (效果 )，60 
ideal performance (理想 性 能 )，61-63 
practical performance (实际 性 能 )，63-64 
connections (连接 ) 
access facilities( 接 入 设施 )，6 
application providers (应 用 提供 者 )，6-7 
content providers (内 容 提供 商 )，7 
global architectures (全 球 架构 )，8 
IoT, 30, 423-424 
IP performance metric (IP 性 能 测度 )，294 
network providers (网 络 提供 商 )，6 
connectivity level (IWF loT reference model) ( 连 
接 等 级 (IWF lol 参考 模型 ) )，403 
constrained application protocol ( CoAP， 受 限 应 
用 协议 )，411-414 
constrained devices ( 受 限 设备 )，409 
constraints (REST) (约束 (REST)), 128-130 
cache (RF), 129 
client-server (客户 端 一 服务 器 )，128 
code-on-demand( 按 需 代码 )，130 
layered system (分 层 系统 )，130 
stateless (无 状态 )，128 
uniform interface (统一 界面 )，129 
consumer and home IloT services (消费 者 与 家 
庭 物 联网 服务 )，376 
containers (容器 ) 
defined (定义 )，183 
interface (接口 )，199-202 
NFVI, 203 
virtualization (虚拟 化 )，183 
content 内 容 
Delivery Networks (CDN， 分 发 网 络 )，224 
packets (分 组 )，169 
providers (提供 商 )，7 
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contextual definition (情景 定义 )，303 
continuous data sources (持续 型 数据 源 )，44 
control layers (控制 层 )，121 
Control Manager (控制 管理 员 )，417-420 
control plane (SDN， 控 制 平面 )，68,82, 113 
centralized controllers (集中 式 控制 器 )，133 
controller implementation initiatives (控制 器 实现 
举措 ); 115 
distributed controllers (分 布 式 控制 器 )，134 
federation (联邦 )，135 
functions〈 功 能 )，113-114 
HA clusters (HA 集群 )，134 
northbound interfaces (北向 接口 )，117-119 
OpenDaylight architecture ( OpenDaylight 体系 结 
构 )，122 
base network service functions (基本 网 络 服 务 功 
能 )，124 
control plane/application plane functionality (控制 
平面 /应 用 平面 功能 )，123 
flexibility (灵活 性 ) 123 
Helium ( 氨 )，124 
layers ( 层 )，122 
modules (#3), 125-127 
SAL, 123 
PolicyCop application ( PolicyCop 应 用 程序 )， 
155 
QoS 
architecture (体系 结构 )，271-272 
management (管理 )，138-140 
REST 
API example (API 例子 )，130-132 
constraints (约束 )，128-130 
defined (定义 )，128 
routing (路 由 )，119-120,137-138 
SDNi 
IETF, 140-141 
OpenDaylight, 141-142 
southbound interfaces ( 南 向 接口 )，116-117 
controlled load services ( 受 控 负载 服务 )，277 
Controller object (控制 器 对 象 )，338 
controllers (控制 器 ) 
cloud security ( 云 安全 )，457 
congestion (拥塞 )，64 
backpressure( 反 向 压力 )，64 


choke packets (阻塞 分 组 )，65 
congestion effects (拥塞 效果 )，60 
explicit signaling ( 显 式 信号 )，66-67 
ideal performance (理想 性 能 )，61-63 
implicit signaling ( 隐 式 信号 )，65 
practical performance (实际 性 能 )，63-64 
data flow (数据 流 )，271-272 
SDN，68 
centralized (集中 式 )，133 
distributed (分 布 式 )，134 
federation (联邦 )，135 
functions (HRE), 113-114 
HA clusters (HA $F$), 134 
IETF SDNi, 140-141 
implementation initiatives (实现 举措 )，115 
implementing (SEHR), 84 
northbound interfaces (北向 接口 )，117-119 
OpenDaylight，122-127 
OpenDaylight SDNi, 141-142 
PolicyCop application ( PolicyCop 应 用 程序 )， 
155 
privacy (隐私 )，134 
QoS management (QoS 管理 )，138-140 
reliability (可 靠 性 ),133 
REST， 参 见 REST 
routing (路 由 选择 )，119-120 
routing between domains ( 域 间 路 由 选择 )， 
137-138 
scalability (可 扩展 性 )，133 
security threats (安全 威胁 ) 439 
southbound interfaces〈 南 向 接口 )，116-117 
switch messages (切换 消息 )，109 
VIN, 127 
convergence (汇聚 ) 
applications (应 用 )，30 
benefits (好 处 )，32 
business-driven (业务 驱动 )，31 
defined (定义 )，30 
enterprise services (企业 服务 )，30 
infrastructure (基础 设施 )，31 
UC architecture (UC 体系 结构 )，35 
cookie entry (flow tables) ( cookie 条 目 ( 流 表 ) )， 
99 
core networks (核心 网 络 ) 


cloud computing (zit#), 50 
defined (定义 )，11 
high-speed local (高 速 本 地 )，16 
core routers (核心 路 由 器 )，8 
COTS ( commercial off-the-shelf， 商 用 现货 )， 
184 
counters (计数 器 ) 
flow tables ( 流 表 )，98 
group tables (组 表 )，107 
CPE ( customer premises equipment， 用 户 终端 
设备 ) 224 
CQ (custom queuing， 自 定义 排队 )，278 
credibility (DevOps) (信誉 (DevOps))，478 
credit based explicit congestion signaling (基于 
信用 的 显 式 拥 塞 信号 )，67 
cross-section bandwidth (横向 带宽 )，163 
current and voltage devices (电流 和 电压 设备 )， 
379 
customer edge(CE， 客 户 边 缘 )，244 
customer premises equipment ( CPE， 用 户 终端 
设备 ) 224 
custom queuing(CQ， 自 定义 排队 )，278 


D 


data (数据 ) 
abstraction level (IWF IoT reference model) (抽象 
层次 (IWF IoT 参考 模型 ) )，407 
accumulation level (IWF IoT reference model) ( 累 
BUF (IWF IoT 参考 模型 ))，406-407 
analytics (分 析 )，30,424-425 
big (XK), 45 
analytics (分 析 )，46 
areas of concern (关注 的 领域 )，48 
defined (定义 )，45 
ecosystem example (生态 系统 例子 )，46-48 
infrastructures (基础 设施 )，46 
three V’s (3V), 48 
capturing devices (IoT) (捕获 设备 (IoT)), 396 
carriers (IoT) (载体 (IoT))，396-397 
centers (中 心 ) 
defined (定义 )，7 
Ethernet (以 太 网 )，13 
Ethernet data rates (以 太 网 数据 速率 )，17 
SDN applications (SDN 应 用 )，162-168 
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deduplication (重复 数据 删除 )，258 
loss/leakage (丢失 / 泄漏 )，451 
loss prevention (DLP， 防 损 )，455 
management servers (管理 服务 器 )，46 
motion (运动 )，406 
packet inspection (分 组 检查 )，184 
processing systems (处 理 系 统 )，46 
protection (保护 )，448，452-453 
rates (速率 ) 
3G cellular networks ( 3G 蜂窝 网 络 )，24 
Ethernet (以 太 网 )，14-19 
Wi-Fi, 21-22 
sources (W), 44 
warehouses (仓库 )，46 
Data-Acquisition object ( 数据 获取 对 象 )，338 
Data Over Cable Service Interface Specification 
(电缆 服务 接口 之 上 的 数据 规范 )，126 
data plane (数据 平面 ) 
QoS architecture (QoS 体系 结构 )，269-271 
SDN，68，82 
functions (功能 )，93-94 
protocols (协议 )，95 
security threats (安全 威胁 )，437-439 
Data Storage as a Service ( DSaaS， 数 据 存储 
即 服务 )，356 
datagrams (数据 报 )，80 
DDoS ( distributed denial-of-service， 分 布 式 拒绝 
服务 )，127 
OpenDaylight，127 
OpenDaylight Defense4All application ( Open- 
Daylight Defense4All 应 用 )，157-159，162 
architecture (体系 结构 )，160-162 
context (E FX), 158 
detected attacks, mitigating (检测 到 的 攻击 ， 
减轻 )，159 
protection techniques (保护 技术 )，158 
dedicated processors (专用 处 理 器 )，383 
deeply embedded systems (深度 嵌入 式 系 统 )， 
386 
default forwarding PHB (默认 转发 PHB)，287 
Defense4All application ( Defense4All 应 用 ), 
157-159,162 
architecture (体系 结构 )，160-162 
context (上 下 文 )，158 
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detected attacks, mitigating (检测 到 的 攻击 ， 减 
轻 )，159 
protection techniques (保护 技术 )，158 
delays (时 延 ) 
big data (大 数据 )，48 
elastic traffic( 弹 性 流量 )，39 
inelastic traffic ( 非 弹性 流量 )，40 
jitters (抖动 )，40 
real-time traffic (实时 流量 )，43 
SLAS，292 
delivery (交付 )，302-303 
demand (需求 ) 
big data (大 数据 )，45 
analytics (分 析 )，46 
areas of concern (关注 的 领域 )，48 
defined (ŒX), 45 
ecosystem example (生态 系统 例子 )，46-48 
infrastructures (基础 设施 )，46 
three V’s (3V), 48 
cloud computing ( 云 计算 )，48 
core (核心 )，50 
intercloud ( 云 间 )，50 
intracloud ( 云 内 部 )，49 
OSS, 50 
requirements (22>), 50 
virtual machines (虚拟 机 )，49 
evolving requirements (不 断 变化 的 要 求 )，77 
mobile traffic (移动 流量 )，51 
categories (类 别 )，52 
growth (增长 )，52 
projections (预测 )，52 
wireless users (无 线 用 户 )，52 
world total, calculating (全 球 总 数 ， 计 算 )，51 
deployment (部 署 ) 
applications lifecycle (应 用 程序 生命 周期 )，471 
cloud computing ( 云 计算 )，359-360 
Internet (因特网 )，29 
IoT, 409 
Cisco IoT system (思科 IoT RA), 420-426 
ioBridge, 427-430 
loTivity, J loTivity 
NFV, 443 
NFVI containers (NFVI #48), 203 
SDN 


domains (3%), 134 
driving factors (动因 )，68-69 
destination addresses field (flow table match 
fields) ( 目的 地 址 字段 ( 流 表 匹配 字段 ) )， 
99 
development (F£), IL DevOps 
devices (设备 ) 
constrained ( 受 限 )，409 
discovery (发 现 )，419 
IoT, 396 
actuating (执行 )，396 
communication (通信 )，399 
data-capturing (数据 捕获 )，396 
data-carrying (数据 携带 )，396-397 
galvanic driving (电流 驱动 )，398 
gateways (网 关 )，398 
general (一 般 )，396-398 
infrared (红外 线 )，397 
interaction technologies (互动 技术 )，397 
optical (光学 )，398 
RFID, 397 
sensing (感应 )，396 
manager (管理 器 )，114 
unconstrained ( 非 受 限 )，410 
DevNet，479 
DevOps ( development operations， 开 发 运 维 )， 
471 
ALM，473 
architecture (体系 结构 )，472 
automation (自动 化 )，475 
Cisco DevNet (思科 DevNet)，479 
cloud computing ( 云 计 算 )，477 
collaboration (协作 )，474 
credibility (信誉 )，478 
current state (现状 )，479 
defined (定义 )，471 
demand (需求 )，475 
development/testing (开发 / 测试)，473 
fundamentals (基本 面 )，471-475 
monitoring/optimizing (监测 / 优化 )，473 
network infrastructure (网络 基础 设施 )，476-478 
planning and measuring (规划 与 测量 )，473 
programmability (可 编程 性 )，477 
releasing/deploying (释放 / 部署)，473 


related products (相关 产品 )，478 
scripting (脚本 )，477 
version control systems (版 本 控制 系统 )，477 
Dice rankings of IT skills in demand ( IT 需求 技 
术 的 Dice 排名 )，488-489 
DICE website (DICE 网 站 )，490 
differentiated services codepoint ( DSCP， 区 分 
服务 代码 点 DSCP)，256 
DiffServ (differentiated services， 区 分 服务 )，279 
behavior aggregates (行为 聚合 )，280 
boundary nodes (边界 结 点 )，280 
characteristics (特点 )，279 
classifiers (分 类 器 )，280 
codepoints (代码 点 )，280-282 
configuration (配置 )，284 
domains (4%), 280-281 
dropping (£F), 280 
DSField, 280-282 
interior nodes (内 部 结 点 )，280 
marking (标记 )，281 
metering (计量 )，281 
node (25%), 280 
PHB, 281-286 
assured forwarding (确保 转发 )，288-289 
class selector (类 选择 器 )，289-291 
default forwarding (默认 转发 )，287 
expedited forwarding (快速 转发 )，287 
service examples (服务 示例 )，282 
SLA，281 
TCA，281 
terminology (术语 )，280 
traffic conditioning (流量 控制 )，281-285 
digital traffic channels (数字 流量 信道 )，23 
direct packet through pipeline instructions (通过 
流水 线 指令 处 理 分 组 )，102 
disaster recovery (灾难 恢复 )，456 
discarding packets (丢弃 分 组 )，273 
discovery (发 现 ) 
devices (设备 )，419 
link (链接 )，120 
distributed denial-of-service (分 布 式 拒绝 服务 )， 
参见 DDoS 
distribution (分 布 ) 
abstraction (抽象 )，149 
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controllers (控制 器 )，134 
networks (网 络 )，10 
DLP (data loss prevention， 数 据 丢 失 防 护 )，455 
DLUX Ul, 127 
DOCSIS ( Data Over Cable Service Interface 
Specification， 电 缆 服 务 接口 之 上 的 数据 
规范 )，126 
domains ( 域 ) 
broadcast (广播 )，231 
compute (计算 )，187 
DiffServ, 280-281 
infrastructure network (基础 设施 网 络 )，187 
NFV, 190 
NFVI, 199 
compute (计算 )，205-208 
hypervisor (管理 程序 )，208-209 
IND, 209-213 
logical structure (逻辑 结构 ) 204 
SDN, 133,137-138 
double-sided quality models (双向 质量 模型 )， 
323 
droppers (丢弃 器 ) 
DiffServ, 280 
packets (42H), 285 
DSaaS ( Data Storage as a Service， 数 据 存储 
BOARS), 356 
DSCP ( differentiated services codepoint, X 4 
服务 代码 点 )，256 
DSField，280-282 


E 


ecosystem (生态 系统 ) 
application providers (应 用 程序 提供 者 )，6-7 
connections (连接 )，6 
content providers (内 容 提 供 者 )，7 
data centers (数据 中 心 )，7 
fog networking ( 雾 联网 )，7 
IoT (Internet of Things， 物 联网 )，7 
network providers (网 络 提供 商 )，6 
users (用 户 )，5 
edge computing level (IWF loT reference model) 
(边缘 计算 层次 (IWF loT 参 考 模型 ))， 
403-404 
edge routers (边缘 路 由 器 )，8 
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EF (expedited forwarding) PHB ( EF (快速 转发 ) 


PHB), 287 
EGP (exterior gateway protocol) (EGP (外 部 网 
关 协 议 ) )，59 
egress port field (flow table match fields) ( 出 端 
口 字段 ( 流 表 匹 配 字段 ) )，99 
egress processing (出 口 处 理 )，103-105 
elastic traffic ( 弹性 流量 ) 
applications (应 用 )，39 
benefits (好 处 )，40 
defined (定义 )，39 
delays (时 延 )，39 
QoS, 40 
requirements (需求 )，39 
total elapsed time (总 经 过 时 间 )，40 
electric actuators ( 电动 型 执行 器 )，381 
electronic product codes ( EPC， 电 子 产 品 码 )， 
387 
EM (element management， 单 元 管理 )，220 
e-mail security ( 电子 邮件 安全 )，455 
embedded systems (ARAA), 381-383 
E-Model (电子 模型 )，325 
encapsulated packets (封装 的 分 组 )，111 
encryption ( 加密) 
encryption ( 1G / 2G 蜂窝 网 络 )，23 
cloud security ( 云 安全 )，456 
end users (终端 用 户 )， 参 见 users 
energy loT services (能 源 loT 服务 )，377 
enterprise networks (企业 网 络 ) 
Ethernet (以 太 网 )，13 
LANs (局 域 网 ) 
architecture (体系 结构 )，12 
Ethernet data rates (以 太 网 数据 速率 )，17 
services (服务 )，30 
Wi-Fi, 20 
entries ( 表 项 ) 
fow tables ( 流 表 )，98 
group tables (组 表 )，107 
EPC (electronic produce code， 电 子 产品 码 )， 
387 
equipment consolidation (设备 合并 )，253 
ERP (exterior router protocol， 外 部 路 由 器 协议 )， 
59,136 
error detection/correction (差错 检测 / 纠 错 )，23 


eswitches, 205 
Ethernet ( 以 太 网 ) 
carrier (运营 商 )，14 
data centers (数据 中 心 )，13 
data rates (数据 速率 )，14 
1-Gbps, 15-16 
2.5/5-Gbps, 19 
10-Gbps, 16-17 
25/50-Gbps, 18 
100-Gbps, 17 
400-Gbps, 19 
defined (定义 )，11 
enterprise (企业 )，13 
homes (家 庭 )，12 
LAN connections (LAN 连接 )，8 
metro (城市 )，14 
offices (办 公 室 )，12 
source port field (flow table match fields) ( 源 端 口 
字段 ( 流 表 匹配 字段 ))，99 
standards (标准 )，14 
type field (flow table match fields) (类 型 字段 ( 流 
表 匹 配 字段 ))，99 
WANs (广域网 )，14 
Wi-Fi combination (Wi-Fi 组 合 )，12 
The Ethernet Alliance (以 太 网 联盟 )，14 
ETSI ( European Telecommunications Standard- 
slnstitute， 欧 洲 电 信 标 准 协会 )，88，444- 
446 l 
Eureka Celtic, 304 
event-based messages (基于 事件 的 消息 )，111 
events (事件 ) 308 
expedited forwarding (EF) PHB (快速 转发 ( EF) 
PHB), 287 
explicit congestion signaling ( 显 式 拥塞 信号 )， 
66-67 
exterior gateway protocol(EGP， 外 部 网 关 协议 )， 
59 
exterior router protocols ( ERP， 外 部 路 由 器 协 
议 )，59,136 


faces (接口 )，170 
fair queuing (公平 排队 )，279 


fast failover group type (快速 恢复 组 类 型 )，109 
FEC ( forwarding equivalence class， 转 发 等 价 
类 )，244 
federation (联邦 )，135 
FIFO (first-in, first-out， 先 进 先 出 ) 277 
fifth generation (5G) cellular networks (第 五 代 蜂 
BMA), 25 
first generation (1G) cellular networks (第 一 代 蜂 
BM), 23 
fixed access network functions{ 固定 接 入 网 功能 )， 
225 
flags entry (flow tables) (标志 表 项 ( 流 表 ) )，99 
flexibility ( 灵活 性 ) 
cloud computing ( 云 计算 )，50 
NV, 253 
OpenDaylight architecture ( OpenDaylight 体系 结 
fy), 123 
Floodlight, 115 
flows ( 流 ) 
congestion avoidance (拥塞 避免 ) 270 
controlling (控制 )，271-272 
ISA, 273 
metering (计量 )，272 
OpenFlow, 97-98 
packets (分 组 ) 
defined (定义 )，80 
marking (标记 )，270 
queue management (队列 管理 )，270 
recording (记录 )，272 
restoration (修复 )，272 
statistics (统计 )，111 
tables (#2) 
action sets (动作 集 )，102 
entries ( 表 项 )，98 
instructions component (指令 组 件 )，101-102 
match fields (匹配 字段 )，99-101 
nesting (#42), 106-107 
pipeline (流水 线 )，102-105 
structure (结构 ) 98 
traffic (流量 ) 
classification (分 类 )，269 
policing (策略 )，270 
shaping (整形 )，270 
VIN, 256 
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WFQ, 279 
Flume, 488 
fog computing ( 雾 计算 ) 
Cisco IoT system (思科 IoT 系统 )，424 
cloud computing, compared ( 云 计算 ， 比 较 )， 
405 
defined (定义 )，404 
fog networking ( 雾 联网 )，7 
ForCES { Forwarding and Control ElementSep- 
aration， 转 发 和 控制 元 素 分 离 )，117 
forwarding (转发 ) 
abstraction (抽象 )，148 
equivalence class (FEC， 等 价 类 )，244 
packets (分 组 )，56-57，275 
paths (#844), 187 
PHB, 287-289 
rules manager (规则 管理 器 )，124 
shortest path (最 短路 径 )，114 
fourth generation (4G) cellular networks (第 四 代 
蜂窝 网 络 )，24 
frame tagging ( 帧 标记 )，236 
frameworks (框架 ) 
high-level (高 级 )，190-191 
IoT security (IoT 安全 性 )，462-464 
Frenetic，150-152 
full-reference quality models ( 全 参考 质量 模型 )， 
323 
functional block interface ( 功能 块 接口 )，200 
functionalities (RFID) ( 功能 (RFID ) )，391-392 
functions (功能 ) 
fixed access (固定 接 人 )，225 
network (网 络 )，187 
VNF, 213 
interfaces (F211), 213-214 
potential functions (潜在 功能 )，213 
scaling (扩展 性 )，216 
VNFC to VNFC communication ( VNFC 到 
VNFC 通信 )，215-216 
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galvanic driving devices (电流 驱动 装置 )，398 
gateway (网 关 ) 
IoT, 396-398 
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nodes (44 #5), 206 
GBP (Group Based Policy， 基 于 组 的 策略 )，126 
general devices (loT) (通用 设备 (loT)), 396-398 
GET message type (GET 消息 类 型 )，131 
GIAC (Global Information Assurance Certifica- 
tion)GSEC (Security Essentials) ( GET 
message typeGIAC (全 球 信息 保证 认证 ) 
GSEC (安全 要 素 ))，487 
Git, 477 
glass-box parameter-based QoE/QoS mapping- 
models (基于 白 盒 参数 的 QoE/QoS 映射 
模型 )，325-326 
global architectures (全 球 性 的 体系 结构 )，7-8 
Google cloud computing certification programs 
(Google 云 计算 认证 计划 )，483 
governance (治理 )，447 
gray-box QoE/QoS mapping models ( 灰 盒 QoE/ 
QoS 了 映射 模型 )，326-327 
Group Based Policy ( GBP， 基 于 组 的 策略 )， 
126 
group tables (组 表 ) 
action buckets (动作 桶 )，108 
entries ( 表 项 )，107 
group types (组 类 型 )，108-109 
OpenFlow，97,107-109 
groups (组 )，108-109 
guaranteed services (保证 服务 )，276 


H 
HA (high-availability) clusters (高 可 用 性 集群 )， 
134 
Hadoop，488 


hardware virtualization (硬件 虚拟 化 )，178 
Hbase，488 
healthcare loT services (医疗 保健 loT ARS), 
376 
Helium (OpenDaylight) ( 氮 ( OpenDaylight ) ), 
124 
hierarchy (层次 化 )，9 
access ( 接 入 )，10 
core (核心 )，11 
distribution (分 布 )，10 
high-level frameworks ( 高层 框 架 )，190-191 


high-level SDN architecture ( ITU-T Y.3300) ( 高 
层 SDN 体系 结构 )，120-121 
high-speed local core networks (高 速 本 地 主干 
网 络 )，16 
hijacking accounts/services (支持 账户 /服务 )， 
451 
homes (家 庭 ) 
Ethernet (以 太 网 )，12 
NFV, 224 
Wi-Fi, 20 
host-centric vertical handover QoE-based networ- 
kmanagement (基于 QoE 的 以 主机 为 中 
心 的 垂直 切换 的 网 络 管理 )，341-342 
host trackers (主机 跟踪 器 )，124 
HP ASE - SDN Application Developer certification 
(HP ASE-SDN 应 用 开发 者 认证 )，481 
hybrid cloud infrastructure (混合 云 基础 设施 )， 
360 
hydraulic actuators (液压 型 执行 器 )，380 
hypervisor domain (虚拟 机 管理 程序 域 )，199， 
208-209 
hypervisor introspection (虚拟 机 管理 程序 内 省 )， 
446 


laaS ( Infrastructure as a Service， 基 础 设施 即 服 
务 )，166，354 
CloudNaaS ，166 
defined (定义 )，166，354 
examples (fil), 354 
separation of responsibilities (职责 划分 )，355 
IAM ( Identity and access management, $470 
访问 管理 )，455 
IBM 
cloud computing certification programs ( 云 计算 
认证 计划 )，482 
study “ Every Day We Create 2.5 Quintillion Bytes 
ofData” website (IBM 研究 “每 天 我 们 创 
造 2.5 x 10" 字 节 的 数据 ”网 站 )，73 
ICMP type/code fields (flow table match fields) 
(ICMP 类 型 / 代码 字段 ( 流 表 匹配 字段 ) )， 
100 
ICMPv6 type/code fields (flow table matchfields) 
( ICMPv6 类 型 /代码 字段 ( 流 表 匹配 字 


§)), 100 
ICN ( Information-Centric Networking, fab 
Wg), 168-173 
identification RFID technology (识别 RFID #2), 
387 
identifiers (标识 
group (2H), 107 
URI, 129 
identity (身份 ) 
access management (ISM， 接 入 管理 )，455 
cloud security ( 云 安全 )，448 
SecaaS, 455 
IEEE ( Institute of Electrical and Electronics- 
Engineers， 电 子 电气 工程 师 协会 )，14 
802.1, 237 
802.1Q standard ( 802.1Q 标准 ), 237-238 
802.3, 237 
802.11 standards ( 802.11 标准 ), 21 
802, 14, 237 
Computer Society Build Your Career website ( “i+ 
算 机 学 会 建立 您 的 职业 生涯 ”网 站 )，490 
Job Site website (“ 工 作 站 点 ”网 站 ) 490 
Resume Lab website (“简历 实验 室 ” 网 站 ) 490 
Standards Association ( IEEE-SA， 标 准 协 会 )， 
305 
IETF ( Internet Engineering Task Force， 因 特 网 
工程 任务 组 )，87，140-141 
IGP (interior gateway protocol， 内 部 网 关 协 议 )， 
59 
image, camera devices (图 像 ， 相 机 设备 )，379 
IM (instant messaging， 即 时 消息 )，34 
implementing ( 实现 ) 
NFV, 196 
SDN controllers (SDN 控制 器 )，84，115 
implicit congestion signaling ( 隐 式 拥塞 信号 )， 
65 
incident response (事故 响应 )，448 
IND (infrastructure network domain， 基 础 设施 网 
络 域 )，199，209-213 
L2 versus L3 virtual networks (二 层 与 三 层 虚 拟 
网 络 )，210-211 
NFV, 187 
reference points (参考 点 )，209 
virtualization (虚拟 化 )，210 
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virtual network alternatives (虚拟 网 络 的 可 选 方 
法 )，211 
indirect group type ( 间接 组 类 型 )，109 
industrial loT services (工业 物 联网 服务 )，376 
inelastic traffic ( 非 弹性 流量 ) 
defined (定义 )，40 
delays (时 延 )，40 
internet requirements (互联 网 需求 )，42 
packetloss (分 组 丢失 )，41 
QoS requirements (QoS 需求 )，42 
requirements (需求 )，40 
service class characteristics (服务 类 别 特征 )，41 
throughput (吞吐 率 )，40 
inertial devices (惯性 设备 )，378 
Information-Centric Networking ( ICN， 信 息 中 心 
网 络 )，168-173 
Information Technology (信息 技术 )， 参 见 IT 
infrared devices (红外 设备 )，397 
infrastructures (基础 设施 ) 
as a Service (基础 设施 即 服务 )， 参 见 IaaS 
based VN (基于 基础 设施 的 虚拟 网 络 )，212 
big data (大 数据 )，46 
convergence (汇聚 )，31 
network domain (网 络 域 )， 套 见 IND 
NFV，199 
compute domain (计算 域 )，205-208 
container deployment (容器 部 署 )，203 
domains ( 域 )，199，204 
hypervisor domain (虚拟 机 管理 程序 域 )，208- 
209 
IND, 209-213 
fiodes( 结 点 )，206-208 
virtual network alternatives (虚拟 网 络 的 可 选 
方法 )，211 
virtualized manager (VIM， 虚 拟 化 管理 器 )，217- 
218 
ingress port field (flow table match fields) (AO 
端口 字段 ( 流 表 匹 配 字段 ))，99 
ingress processing (入 口 处 理 )，102-104 
inspecting packets (分 组 检测 )，184 
instant messaging (IM， 即 时 消息 )，34 
Institute of Electrical and Electronics Engineers 
(电子 电气 工程 师 协会 )， 参 见 IEEE 
instructions component (指令 组 件 )，102 
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instructions entry (flow tables) (指令 表 项 ( 流 表 ) )， 
98 
integrated circuits ( 集成 电路 )，384 
Integrated Services Architecture( 综合 服务 架构 )， 
参见 ISA 
integrity (完整 性 ) 
security requirement (安全 需求 )，435 
TLS，438 
Inter-SDN Controller Communication: Using 
Border Gateway Protocol website ( SDN 
控制 器 间 通 信 : 使 用 边界 网 关 协 议 网 站 )， 
143 
interactive QoE (交互 式 QoE), 55 
intercloud networks ( 云 间 网 络 )，50 
intercommunicating smart objects (互通 智能 对 
象 )，374 
Interest packets (兴趣 分 组 )，169 
interfaces (接口 ) 
cloud security ( 云 安 全 )，450 
container (容器 )，199-202 
functional block (功能 块 )，200 
SDN controllers (SDN 控制 器 ) 
northbound (北向 接口 )，117-119，146 
southbound( 南 向 接口 )，116-117 
sensors (传感器 )，377 
uniform (统一 )，129 
user (用 户 )，147 
VNF, 213-214 
interior gateway protocol ( IGP， 内 部 网 关 协 议 )， 
59 
interior nodes (内 部 结 点 )，280 
interior router protocols (IRP， 内 部 路 由 器 协议 )， 
58，119 
International Information System Security Certifi- 
cation Consortium (ISC)2 Certified Infor- 
mation Systems Security Professional 
(CISSP) (国际 信息 系统 安全 认证 联盟 2 
认证 信息 系统 安全 专业 人 员 )，487 
International Telecommunication Union 一 Teleco- 
mmunication Standardization Sector ( 
际 电信 联盟 -电信 标准 化 部 门 )， 参 见 
ITU-T 
Internet ( 因特网 ) 
defined (定义 )，39 


deployment generations (部 署 代 )，29 
Engineering Task Force (IETF， 工 程 任务 组 )， 
87, 140-141 
exchanges (交换 )，17 
media providers (媒体 提供 商 )，17 
wireless (无 线 )，52 
Internet of Things ( 物 联 网 )， 参 见 loT 
Internet Research Task Force ( IRTF， 因 特 网 研 
究 工作 组 )，87 
Internet Society (ISOC， 互 联网 学 会 )，87 
internets ( 互联 网 )，39，42 
intracloud networks ( 云 内 部 网 络 )，49 
intrusion management ( 入侵 管 理 )，456 
ioBridge 
platform (平台 )，427 
RealTime.io, 430 
ThingSpeak, 428-429 
website (Web 站 点 )，427 
VO ports (I/O 端口 )，59 
loT (Internet of Things， 物 联网 )，7 
actuators (执行 器 )，380-381 
agents (代理 )，399 
architecture (体系 结构 )，395 
benefits (好 处 )，373 
Cisco IoT system (思科 IoT 系统 )，420 
application enablement platform (应 用 程序 支 
持平 台 )，426 
data analytics (数据 分 析 )，424-425 
fog computing (FH), 424 
management and automation (管理 与 自动 化 )， 
426 
network connectivity (网 络 连 接 )，423-424 
security (安全 )，425-426 
six pillars (六 大 支柱 )，421 
components (组 件 )，377,389 
defined (定义 )，28 
deploying (部 署 )，409 
embedded devices (嵌入 式 设备 )，28 
equation (公式 )，374 
intercommunicating smart objects ( 互 连 智能 对 象 )， 
374 
Internet deployment evolution (因特网 部 署 演进 )， 
29 
ioBridge 


platform (平台 )，427 
RealTime.io, 430 
ThingSpeak, 428-429 
website (Web 站 点 )，427 
IoTivity，409 
base (FE) ,410 
Base (软件 库 ) , 415-417 
Base services ( 库 服 务 )，417-420 
CoAP，411-414 
constrained devices ( 受 限 设备 )，409 
Linux Foundation (Linux 基金 会 )，409 
OIC，409 
unconstrained devices ( 非 受 限 设 备 )，410 
ITU-T reference model ( ITU-T 参考 模型 )，395， 
400-401 
actuating devices (执行 设备 )，396 
communication networks (通信 和 网络 )，396 
data-capturing devices (数据 捕获 设备 )，396 
data carriers (数据 携带 器 )，396 
devices (设备 )，396 
gateway (网 关 )，396 
general devices (通用 设备 )，396 
sensing devices( 传 感 设备 )，296 
terminology (术语 )，395-396 
things ( 物 )，396 
IWF reference model (IWF 参考 模型 )，401-403 
application (应 用 )，407 
collaboration/processes (协作 / 处 理 )，407 
connectivity (连通 性 )，403 
data abstraction (数据 抽象 )，407 
data accumulation (数据 累积 )，406-407 
edge computing (边缘 计算 )，403-404 
physical devices/controllers (物理 设备 /控制 
fit), 403 
summary (小 结 )，408 
layers (分 层 )，29-30 
microcontrollers( 微 控制 器 )，381 
application processors (应 用 处 理 器 )，383 
chips (芯片 )，385 
dedicated processors (专用 处 理 器 )，383 
deeply embedded systems (RAE ARK BE), 
386 
embedded systems (ARRA), 381-383 
microprocessors ( 微 处 理 器 )，383-384 


过 Fl 341 


RFID technology (RFID 技术 )，387 
access control (访问 控制 )，388 
anti-counterfeiting tool (防伪 工具 )，388 
applications (应 用 )，387-388 
functionalities (功能 )，391-392 
operating frequencies (运行 频率 )，391 
payment/stored value systems (支付 / 储 值 系 

统 )，387 

readers (AF) ,390 
tags (标签 )，389-390 
tracking/identification (追踪 /识别 )，387 

scope (范围 )，374-377 

security (安全 )，458-459 
framework (框架 )，462-464 
patching vulnerabilities (漏洞 修复 )，459 
requirements (需求 )，459-461 

sensors (传感器 )，377 
accuracy (准确 度 )，379 
precision (精度 )，379 
resolution (解析 度 )，380 
types (类 型 )，377-379 

service sectors (服务 行 业 ) 
buildings (建筑 )，377 
consumer and home (消费 者 与 家 庭 )，376 
energy (能 源 )，377 
healthcare/life science (医疗 保健 /生命 科学 )， 

376 

industrial (工业 )，376 
IT/networks (IT/ 网 络 )，375 
retail (零售 业 )，376 
security/public safety (安全 /公共 安全 )，375 
transportation (交通 运输 业 )，376 

tags (标签 )，375 

technology development (技术 开发 )，373 

transceivers (WARE), 386 

World Forum (世界 论坛 )， 参见 IWF 

iotas, 427 
loTivity, 409 

base (Æ), 410 

Base (软件 库 )，415 
resources, querying (资源 ， 查 询 )，416-417 
services (服务 )，415-420 

clients (客户 )，419 

CoAP, 411-414 
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formats (格式 )，412 
message exchange example (消息 交换 例子 )， 
414 
message method (消息 方法 )，413 
messages (消息 )，412 
constrained devices ( 受 限 设备 )，409 
Linux Foundation (Linux 基金 会 )，409 
OIC, 409 
servers (服务 器 )，419 
unconstrained devices ( 非 受 限 设备 )，410 
website (Web 站 点 )，409 


backbone (EF), 8 
enabling contact centers (IP 使 能 联系 中 心 )，35 
field (flow table match fields component) ( Z Bz 
( 流 表 匹 配 字段 组 件 ))，99 
mobility (移动 性 )，35 
Performance Metrics Working Group (性 能 测度 
工作 组 )， 参 见 IPPM 
security (IPsec) (安全 (IPsec)), 241-243 
IP-oriented parameter-based QoE/QoS mapping 
models (面向 IP 的 参数 QoE/QoS 映射 模型 )， 
327-329 
IPPM (IP Performance Metrics Working Group, 
IP 性 能 测度 工作 组 )，293-296 
benefits (好 处 )，293 
measurement techniques (测量 技术 )，295 
metrics, listing of (测度 列表 )，293 
need (需求 )，293 
pdv, 295 
sample metrics ( 拍 样 测度 )，295 
stages (阶段 )，294 
statistical metrics (统计 性 测度 )，295 
IPsec, 241-243 - 
IPv4 (flow table match fields) ( IPv4 ( 流 表 匹 配 字 
段 ))，100 
IPv6 (flow table match fields) ( IPv6 ( 流 表 匹配 字 
段 ))，100-101 
IRPs ( interior router protocols， 内 部 路 由 器 协 
议 )，58,119 
IRTF ( Internet Research Task Force， 因 特 网 研 
究 工作 组 )，87 
ISA ( Integrated Services Architecture， 集 成 服 
务 体系 结构 )，273 


components (组 件 )，274-275 
design (设计 )，273-274 
flows ( 流 )，273 
QoS (QoS)，273 
services (IRA), 276-279 
ISACA Certified Information Security Manager 
(CISM) (ISACA 认证 信息 安全 经 理 )，487 
ISC2 (International Information System Security 
Certification Consortium) CISSP (Cert- 
ified Information Systems Security Pro- 
fessional) ( ISC2 (国际 信息 系统 安全 认证 
联盟 ) CISSP (认证 信息 系统 安全 专业 人 
员 ))，487 
ISC2 Systems Security Certified Practitioner 
(SSCP), (ISC2 系统 安全 认证 执业 者 )， 
487 
ISG NFV (Network Functions Virtualization Indu- 
stryStandards Group) ( ISG NFV (网 络 功 
能 虚拟 化 行业 标准 组 ) )，186 
container interface (容器 接口 )，199-202 
NFV standards (NFV 标准 )，186 
ISOC (Internet Society， 互 联网 协会 )，87 
ISP 
connections (连接 )，8 
core routing (核心 路 由 选择 )，17 
IT (information technology， 信 息 技 术 ) 29, 
407 
defined (定义 )，407 
IoT services (IoT 服务 )，375 
professionals (专业 人 员 )，467 
certification programs (认证 项 目 )，480-487 
online resources (在 线 资源 )，489-490 
responsibilities (职责 ) 467-469 
SDN/NFV impacts (SDN / NFV 影 响 )，469- 
470 
skills in demand (需求 技能 ) 488-489 
ITU-T (International Telecommunication Union— 
Telecommunication Standardization Sector) 
( ITU-T (国际 电信 联盟 -电信 标准 化 部 
门 ))，88,304 
cloud computing reference architecture ( 云 计 算 参 
考 体系 结构 )，365-371 
actors (参与 者 )，365 
layers (分 层 )，366-368 


IoT reference model (Y.2060) (loTB 4 模 型 
(Y.2060 )), 395,400-401 
actuating devices (执行 设备 )，396 
communication networks (通信 网 络 )，396 
data-capturing devices (数据 捕获 设备 )，396 
data carriers (数据 携带 器 )，396 
devices (设备 )，396 
gateway (网 关 )，396 
general devices (通用 设备 )，396 
sensing devices ( 传 感 设 备 )，296 
terminology (术语 )，395-396 
things ( 物 )，396 
SDN/NFV standards (SDN / NFV 标准 )，88 
Y.2060 Overview of the Internet of Things (Y.2060 
物 联网 概述 )，374 
Y.2066 security and privacy(Y.2066 安全 和 隐私 )， 
459-461 
Y.3300 SDN high-level architecture ( Y.3300 SDN 
高 层 体系 结构 )，120-121 
Y.3500 
cloud capabilities types ( 云 功 能 类 型 )，356 
cloud service categories ( 云 服 务 类 别 )，355 
emerging cloud service categories (新 兴 云 服务 
类 别 ) 357 
IWF (loT World Forum) ( IWF 参考 模型 )，401- 
403 
application level (应 用 层次 )，407 
collaboration/processes level (协作 /处 理 层次 )， 
407 
connectivity level (连通 性 层次 )，403 
data abstraction level (数据 抽象 层次 )，407 
data accumulation level (数据 累积 层次 )，406- 
407 
edge computing level (边缘 计算 层次 )，403-404 
physical devices/controllers level (物理 设备 / 控 
制 器 层次 )，403 
summary (小 结 )，408 


J-K 


JCA-SDN ( Joint Coordination Activity on Sof- 
tware-Defined Networking， 软 件 定义 网 
络 联 合 协 作 机 构 )，88 

Juniper networking certifications( 瞻 博 网 络 认证 )， 
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485 

Kemp Technologies blog “ SDN is from Mars, 
NFV is from Venus ” website ( Kemp 科 
技 博客 “SDN 来 自 火 星 ，NFV 来 自 金星 ” 
网 站 )，229 


L2Switch，127 
L2VPN (Layer 2VPN， 二 层 VPN)，244-246 
L2/L3 virtual networks ( L2 / L3 虚拟 网 络 )，210- 
211 
L3VPN (Layer 3VPN， 三 层 VPN ) )，244-246 
label-switched paths(LSP， 标 签 交换 路 径 )，244 
label-switching routers ( LSR， 标 签 交换 路 由 器 )， 
244 
LANs ( 局 域 网) 
configuration (配置 )，231 
enterprise (企业 ) 17 
partitioned (划分 )，233 
switches (交换 机 )，231 
Laravel, 489 
latency (时 延 )， 参见 delays 
Layer 3 switches (第 3 层 交 换 机 )，10 
layered system constraint ( REST， 分 层 系统 约 
束 )，130 
Layer object ( 层 对 象 )，338 
layers (分 层 ) 
abstraction (抽象 )，146-152 
control (控制 )，121 
IoT ( 物 联 网 )，29-30 
ITU-T cloud computing reference architecture 
(ITU-T 云 计算 参考 架构 )，366-368 
OpenDaylight architecture ( OpenDaylight 体系 结 
#4), 122 
QoE/QoS, 308-310 
resource (资源 )，121 
legacy switches (传统 交换 机 )，238 
LE (lower than best effort) traffic ( 低 于 尽力 而 为 
流量 )，268 
life science loT services (生命 科学 物 联 网 服务 )， 
376 
link discovery ( 链 路 发 现 )，120 
Linux Foundation (Linux 基金 会 )，409 
LISP (Location/ldentifier Separation Protocol), 
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(LISP (位 置 /标识 符 分 离 协 议 ))，126- 
127 
logical ports ( 逻辑 端口 )，96 
logical resources (逻辑 资源 )，247 
logical switches (OpenFlow) (逻辑 交换 机 (Open- 
Flow)), 97 
flow table (jit#), AJL flows 
group tables (44), 107-109 
lower than best effort ( LE) traffic ( 低 于 尽力 而 为 


流量 )，268 

LSPs ( label-switched paths， 标 签 交 换 路 径 )， 
244 

LSRs (label-switching routers， 标 签 交 换 路 由 
器 ))，244 


M 


MACs (media access control) frames (媒体 访问 
控制 帧 )，231 
magnetic devices (磁性 设备 )，379 
malicious insider threats ( 恶意 内 部 威胁 )，451 
management (管理 ) 
agents (代理 )，275 
automation component (Cisco IoT system) (自动 
化 组 件 (思科 IoT ABE)), 426 
cloud service ( 云 服 务 )，364 
device (设备 )，114 
forwarding rules (转发 规则 )，124 
NFV management and orchestration (NFV 管理 和 
编排 )， 参见 MANO notification, 114 
QoS architecture (QoS 体系 结构 )，272 
servers (服务 器 )，46 
statistics 统计 
OpenDaylight, 124 
SDN controllers (SDN 控制 器 )，114 
switch (交换 机 ) 
OpenDaylight，124 
retrieving statistics (检索 统计 )，131 
updating statistics〈 更 新 统计 )，132 
topology (拓扑 ) 
OpenDaylight，124 
SDN controllers (SDN 控制 器 )，114，120 
virtualized infrastructure ( VIM、 虚拟 化 基础 设 
施 )，217-218 
VNFM, 218 


MANO ( NFV management and orchestration, 
NFV 管理 和 编排 )，217 
architecture (体系 结构 )，217 
element management (单元 管理 )，220 
NFVO, 219 
OSS/BSS, 220 
repositories (仓库 )，219 
VIM, 217-218 
VNFM, 218 
MANs ( metropolitan-area networks， 城 域 网 )， 
14, 17 
mapping models (QoE/QoS ， 映 射 模型 )，323 
black-box media-based (基于 媒体 的 黑 盒 )，323- 
325 
choosing (选择 )，327 
glass-box parameter-based (基于 参数 的 白 盒 )， 
325-326 
gray-box (JK), 326-327 
IP-oriented parameter-based (面向 下 的 参数 )， 
327-329 
MapReduce，488 
marking (标记 ) 
DiffServ, 281 
packets (分 组 )，270 
traffic (流量 )，285 
master QoE agents ( 主 QoE 代理 )，339 
match fields entry (flow tables) (匹配 字段 表 项 
( 流 表 ))，98-101 
mean opinion score (平均 意见 得 分 )，316 
measurement (测量 ) 
applications (应 用 )，157 
QoE, 312 
end-user device analytics ( 端 用 户 设备 分 析 )， 
315 
MOS ( mean opinion score， 平 均 意 见得 分 )， 
316-317 
objective assessment (客观 评价 )，314-315 
subjective assessment (主观 评价 )，312-314 
mechanical actuators (机 械 式 执行 器 )，381 
media (媒体 ) 
access control frames (MAC， 访 问 控 制 帧 )，231 
devices (设备 )，379 
Internet providers (因特网 提供 商 )，17 
video on demand (视频 点 播 )，17 


membership (VLANs) (成 员 (VLANs) ) 
communicating (通信 )，236 
defining (定义 )，235 
messages (消息 ) 
CoAP, 412-414 
GET, 131 
instant (即时 )，34 
OpenFlow，109-111 
POST, 132 
SDNi, 141 
unified (统一 )，34 
metadata field (flow table match fields) (元 数据 
字段 ( 流 表 匹配 字段 ))，100 
meters (计量 表 ) 
DiffServ, 281 
OpenFlow QoS support ( OpenFlow QoS 支 持 )， 
297-298 
tables (42), 97 
traffic (流量 ) 272,285 
metrics (测度 ) 
IP performance (IP 性 能 )，293 
benefits (好 处 )，293 
listing of (测度 列表 )，293 
measurement techniques (测量 技术 )，295 
need (需求 )，293 
pdv, 295 
sample metrics (抽样 测度 )，295 
stages (阶段 )，294 
statistical metrics (统计 测度 )，295 
QoE 
mapping models (映射 模型 )，323-329 
networks/services management (网 络 /服务 管 
理 )，341-344 
service monitoring (服务 监视 )，335-340 
service-oriented actionable (面向 服务 的 可 操 
fE), 331 
system-oriented actionable (面向 系统 的 可 操 
作 )，330 
QoS 
mapping models (映射 模型 )，323-329 
service monitoring (服务 监视 )，334-335 
metro Ethernet ( 城 域 以 太 网 )，14 
metropolitan-area networks ( MAN, 
网 )，14 
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microcontrollers ( 微 控 制 器 )，381 
application processors (应 用 处 理 器 )，383 
chips GĦ ), 385 
dedicated processors (专用 处 理 器 )，383 
deeply embedded systems (深度 嵌入 式 系 统 )， 
386 
embedded systems (ARRA), 381-383 
microprocessors ( 微 处 理 器 )，383-384 
microprocessors ( 微 处 理 器 )，383-384 
Microsoft ( 微软 ) 
cloud computing certification programs (z 计算 
认证 程序 )，482 
systems engineer certifications( 系 统 工程 师 认 证 )， 
486 
mobile cellular networks (移动 蜂窝 网 络 )，223 
mobile traffic ( 移动 流量 )，51-52 
mobility ( 移动 性 ) 
SDN 
applications (应 用 )，168 
driving factor (动因 )，69 
UC architecture (UC 体系 结构 )，35 
models (模型 ) 
cloud deployment ( 云 部 署 ) 
community (社区 )，360 
hybrid (混合 )，360 
private (私有 )，359 
public (444), 359 
QoE/QoS mapping (QoE/QoS 映射 )，323 
black-box media-based (基于 媒体 的 黑 盒 )， 
323-325 
choosing (选择 )，327 
glass-box parameter-based (基于 参数 的 白 盒 )， 
325-326 
gray-box (JK&&), 326-327 
IP-oriented parameter-based (面向 IP 的 参数 )， 
327-329 
modern networking (现代 网 络 ) 
elements (要 素 )，71 
requirements (要 求 )，80 
modules (模块 ) 
OpenDaylight, 125 
controller (控制 器 )，126 
network applications, orchestration, andservices 


(网 络 应 用 程序 ， 编 排 和 服务 ) 127 
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southbound interfaces/protocol plug-ins ( #4 向 
接口 /协议 插件 )，125 
PolicyCop application (PolicyCop 应 用 )，155 
monitoring ( 监视 ) 
applications (应 用 )，157 
categories (类 别 )，332 
on-demand ( 按 需 )，333 
probes ( 探 针 )，333 
QoE, 335-340 
agent objects (代理 对 象 )，338 
API layers (API Jz), 337 
configurations (配置 )，335 
QoS, 334-335 
virtual machines(VM， 虚 拟 机 )，179-180,183 
MOS (mean opinion score， 平 均 意见 得 分 )， 
316-317 
motherboards (主板 )，383 
MPLS ( Multiprotocol Label Switching， 多 协议 标 
签 交换 )，9 
label value/traffic class/BoS fields (flow table 
match fields), (标签 值 /流量 类 / Bos 字段 
( 流 表 匹 配 字段 ))，100 
LSR, 244 
VPN, 243-247 
Layer 2 (ZJZ), 245-246 
Layer 3 (=Jz), 246 
multicore processor (多 核 处 理 器 )，384 
multimedia ( 多媒体)，301 


N 


NaaS (Network as a Service， 网 络 即 服务 )，356 
National Institute of Standards and Technology 
(国家 标准 与 技术 研究 所 )， 参 见 NIST 
neighbors (邻居 )，136 
nesting (WE) 
flow tables (ţi), 106-107 
VLANs, 239 
NETCONF, 125 
network-centric vertical handover QoE-based 
network management (基于 QoE 的 以 网 
络 为 中 心 的 垂直 切换 网 络 管理 )，342-344 
network layer QoE/QoS video services mapping 
models ( 用 于 网 络 层 QoE / QoS 的 映射 模 


型 )，328 
networks ( 网络) 
capacity (容量 )，48 
certification programs (认证 程序 )，484 
cloud ( 云 )，350 
connectivity (连通 性 )，423-424 
functions (NFs) (功能 (NF)), 187 
Functions Virtualization Industry Standards 
Group (功能 虚拟 化 行业 标准 组 )， 参 见 
ISG NFV 
Functions virtualization infrastructure (功能 虚 
拟 化 基础 设施 )， 参 见 NFVI 
Functions virtualization (SHAE HEHE), AL 
NFV 
interface cards (NIC, JF), 205 
nodes (2144), 207 
operating system (NOS, RERA), 114 
OSS, 50 
point of presence (N-PoP) (入 网 点 (N-PoP)), 
187 
providers (提供 商 )，6 
QoE-based management (基于 QoE 的 管理 ) 
host-centric vertical handover (以 主机 为 中 心 
的 垂直 切换 )，341-342 
network-centric vertical handover (以 网 络 为 中 
心 的 垂直 切换 )，342-344 
VoIP calls (VoIP 呼叫 )，341 
services (服务 ) 
catalog (目录 )，219 
NFV, 187 
virtualization (虚拟 化 )， 套 见 NV 
NFs (network functions， 网 络 功能 )，187 
NFV (network functions virtualization ， 网 络 功 能 
虚拟 化 )，70,184 
background (背景 )，177-178 
benefits (好 处 )，191-192 
cloud computing ( 云 计算 )，368-371 
compute domains (计算 域 )，187 
configuration example (配置 示例 )，188-189 
container interface (容器 接口 )，199-202 
COTS，184 
data packet inspection (数据 包 检 查 )，184 
defined (定义 )，70，187 
deployment (部 署 )，443 


forwarding paths (转发 路 径 )，187 
functions (fi), 187 
high-level framework (高 层 框架 )，190-191 
infrastructure (基础 设施 )，199 
compute domain (计算 域 )，205-208 
container deployment (EARBA ), 203 
domains (#Ẹ), 187,199,204 
hypervisor domain (虚拟 机 管理 程序 域 )，208- 
209 
IND，209-213 
nodes ( 结 点 )，206-208 
virtual network alternatives (虚拟 网 络 的 可 选 
方法 ), 211 
instances (实例 )，220 
IT/network job position impact (IT / 网络 职位 影 
响 )，469-470 
MANO, 217 
architecture (体系 结构 )，217 
element management (单元 管理 )，220 
NFVO, 219 
OSS/BSS, 220 
repositories (仓库 ) 219 
VIM, 217-218 
VNFM, 218 
modern networking schema (现代 网 络 架 构 )，72 
NFVI, 187 
NFVI-Node (NFVI- 结 点 )，187 
NFVI-PoP (NFVI-PoP), 187 
N-PoP, 187 
orchestrator (NFVO) (编排 器 (NFVO)) 219 
PNF, 187 
principles (原则 )，189 
reference architecture (参考 体系 结构 )，193-194 
implementation (实现 )，196 
management/orchestration (管理 / 编排 )，194 
reference points (参考 点 )，195 
requirements (要 求 )，192-193 
services (服务 )，187 
SDI, enabling (SDI， 启 用 )，258 
SDN 
relationship (26%), 225-228 
similarities (相似 之 处 )，70 
security (安全 )，441 
attack surfaces (攻击 表面 )，441-444 
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ETSI security perspective (ETSI 安 全 视角 )， 
444-446 
techniques (技术 )，446 
standards (标准 )，85-87,186 
industry consortiums (产业 协会 )，89 
open development initiatives (开放 发 展 组织 )， 
90 
SDOs, 87-89 
use cases (用 例 )，221 
architectural (体系 结构 )，222-223 
service-oriented (面向 服务 )，223-225 
virtual networks (虚拟 网 络 )，187,210 
vision (愿景 )，185 
VNF, 187, 213 
FG, 187 
interfaces (接口 )，213-214 
potential functions (潜在 功能 )，213 
scaling (缩放 )，216 
sets (集合 )，187 
VNFC to VNFC communication ( VNFC 到 
VNFC Ñf), 215-216 
NFVI ( network functions virtualization infrast- 
ructure， 网 络 功能 虚拟 化 基础 设施 ), 187, 
199 
container deployment (容器 部 署 )，203 
domains ( 域 )，199 
compute (计算 )，205-208 
hypervisor (虚拟 机 管理 程序 )，208-209 
IND，209-213 
logical structure (逻辑 结构 ) 204 
nodes( 结 点 )，187，206-208 
PoP, 187, 207 
resources (资源 ) 220 
virtual network alternatives (虚拟 网 络 的 可 选 方 
%), 211 
NFVlaaS ( NFVI as a Service, NFVI BI Ak # ), 
222 
NFVO (NFV orchestrator, NFV 编排 器 )，219 
NICs (network interface cards, W+), 205 
NIST (National Institute of Standards and 
Technology), cloud computing (国家 标准 
与 技术 研究 所 ， 云 计算 )，26 
characteristics (特点 )，26 
reference architecture (参考 体系 结构 )，361-365 
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nodes ( 结 点 ) 
DiffServ，280 
NFVI, 187,206-208 
no-reference quality models (无 参考 质量 模型 )， 
324 
northbound interfaces (北向 接口 )，117-119,146 
NOS ( network operating system， 网 络 操作 系 
统 )，114 
notification manager (通知 管理 器 )，114,419 
N-PoP ( network point of presence， 网 络 PoP 
点 )，187 
NV (network virtualization ， 网 络 虚拟 化 ) 
agility (敏捷 )，253 
architecture (体系 结构 )，250-252 
benefits, (好 处 )，252 
capital cost savings, (节约 资 产 成 本 )，253 
defined (定义 )，247 
equipment consolidation (设备 合并 )，253 
example (示例 )，248-249 
flexibility (灵活 性 )，253 
function manager (功能 管理 器 )，218 
infrastructure-based (基于 基础 设施 )，212 
L2 versus L3( 二 层 与 三 层 )，210-211 
levels of abstraction (抽象 层次 )，248 
logical resources (逻辑 资源 ) 247 
NFV, 187 
NFVI alternatives (NFVI 的 可 选 方法 )，211 
operational cost savings (节约 运 维 成 本 )，253 
physical resources (物理 资源 )，247 
rapid service provisioning (快速 服务 置 备 )，253 
scalability (可 扩展 性 )，253 
virtual overlay (虚拟 覆盖 网 )，212 
virtual resources (虚拟 资源 )，247 


O 


objective assessment( QoE， 客 观 评价 ) , 314- 
315 

ODCA (Open Data Center Alliance， 开 放 数 据 中 
心 联 盟 )，80，89 

office Ethernet (办公室 以 太 网 )，12 

off-path caching ( 离 径 缓存 )，170 

off-path cachingOIC ( Open Interconnect Cons- 
ortium )， 开 放 互 连 联盟 )，409 

OnCue，489 


on-demand monitoring ( 按 需 监视 )，333 
one-sided quality models ( 单 向 质量 模型 )，324 
one-way delay metric ( 单 向 时 延 测度 )，294 
one-way loss metric ( 单 向 丢 包 测度 )，294 
one-way loss pattern metric( 单 向 丢 包 模式 测度 )， 
294 
ONF ( Open Networking Foundation ， 开 放 网 络 
基金 会 )，79 
Certified SDN Associate certification (SDN 助理 
Wie), 481 
Certified SDN Engineer certification (SDN T. 程 
师 认证 )，481 
defined (定义 )，89 
traditional network architecture limitations (传统 
网 络 体系 结构 限制 )，79-80 
Onix，115 
ONOS ( Open Network Operating System, FFAX 
网 络 操作 系统 )，115 
on-path caching (沿路 缓存 )，170 
Open Data Center Alliance (ODCA， 开 放 数 据 中 
心 联盟 )，80,89 
open development initiatives (开放 发 展 组 织 )，90 
Open Interconnect Consortium ( OIC， 开 放 互 连 
联盟 )，409 
Open Networking Foundation ( 开放 网 络 基金 会 )， 
参见 ONF 
Open Network Operating System ( ONOS ， 开 放 
网 络 操作 系统 )，115 
Open Platform (开放 平台 )，90 
Open Platform for NFV(OPNFV,NFV 开放 平台 )， 
196 
Open Service Gateway Initiative ( OSGi， 开 放 服 
务 网 关 提 案 )，123 
open standard (开放 标准 )，85-87 
industry consortiums (行业 联盟 )，89 
open development initiatives (开放 发 展 组 织 )， 
90 
SDOs, 87-89 
Open vSwitch Database Management Protocol 
(OVSDB， 开 放 vSwitch 数据 库 管 理 协议 )，116 
OpenCrowd example SaaS services survey 
( OpenCrowd 示例 SaaS 服务 调查 )，352- 
353 
OpenDaylight, 90, 115, 122 


architecture (体系 结构 )，122 
base network service functions (基本 网 络 服务 
功能 )，124 
control plane/application plane functionality ( 控 
制 平面 /应 用 平面 功能 )，123 
flexibility (灵活 性 )，123 
Helium (2), 124 
layers (分 层 )，122 
modules (模块 )，125-127 
SAL, 123 
Defense4All DDoS application ( Defense4All 
DDoS 应 用 程序 )，157-159,162 
architecture (体系 结构 )，160-162 
context (上 下 文 )，158 
detected attacks, mitigating (检测 到 的 攻击 ， 
消除 )，159 
protection techniques (保护 技术 )，158 
SDNi，141-142 
VIN, 253-257 
architecture (体系 结构 )，257 
Coordinator (协调 器 )，254 
elements (单元 )，254 
flows (fii), 256 
Manager (管理 器 )，254 
mapping (映射 )，255 
OpenFlow，89 
channels (信道 )，96 
defined (定义 )，95 
encapsulated packets (封装 的 分 组 )，111 
event-based messages (基于 事件 的 消息 )，111 
flow( 流 )，98,111 
flow tables ( 流 表 ) 
actions (动作 )，101 
action sets (动作 集 )，102 
entries( 流 表 项 )，98 
instructions component (指令 组 件 )，102 
match fields (匹配 字段 )，99-101 
nesting (Æ), 106-107 
pipeline (流水 线 )，102-105 
structure (结构 ) 98 
group tables (组 表 )，107-109 
action buckets (动作 桶 )，108 
entries ( 流 表 项 )，107 
group types (组 类 型 )，108-109 


messages (消息 )，109-111 
ports (端口 )，96 
QoS，296-298 
switches (交换 机 )，96-97 
VLAN support (VLAN 支持 )，240 
OpenStack, 90,126-127 
operating frequencies (RFID )( 工作 频率 (RFID)), 
391 
operations ( 运营 ) 
cost savings (成 本 节约 )，253 
expenditure (OpEx， 支 出 )，191 
support system (OSS， 支 持 系统 )，50 
technology (OT， 技 术 )，29,407 
OpEx (operational expenditure， 运 维 开 支 )，191 
OPNFV (Open Platform for NFV, NFV 开放 平台 )， 
196 
optical devices (光学 设备 )，379-398 
OSGi ( Open Service Gateway Initiative, OSGi 
(开放 服务 网 关 提案 )，123 
OSS ( operations support system， 操 作 支 持 系 
统 )，50 
OSS/BSS (NFV MANO)，220 
OT ( operational technology， 操 作 技 术 )，29， 
407 
OVSDB ( Open vSwitch Database Management 
Protocol， 开 放 vSwitch 数据 库 管 理 协 议 )， 
116, 125-127 
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PaaS (Platform as a Service， 平 台 即 服务 )，353， 
488 
PAA ( Policy Adaptation Action ， 策 略 调整 动作 )， 
156 
Packet Cable MultiMedia (分 组 电缆 多 媒体 )， 
125 
packet-switched network ( PSN， 分 组 交换 网 络 )， 
244 
packet (分 组 ) 
choke (阻塞 )，65 
Content (内 容 )，169 
defined (定义 )，79 
delaying (时 延 )，285 
delay variation (pdv， 了 时 延 拌 动 )，294-295 
discarding (丢弃 )，273 
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dropping ( F BE) , 285 
encapsulated (封装 )，111 
faces (接口 )，170 
fow ( 流 )，80，97 
forwarding (转发 )，56-57 
ISA router implementation (ISA 路 由 器 实现 )， 
275 
SDN, 83 
inspection (检查 )，184 
interest (兴趣 )，169 
loss (丢失 )，41 
marking (标记 )，270 
queue management (队列 管理 )，270 
real-time transmission (实时 传输 )，44 
scheduling (调度 )，275 
switching (交换 )，79 
variable-length (可 变 长 度 )，44 
partitioning (划分 ) 
LAN, 233 
virtual (虚拟 化 )，212 
Pascal, 489 
passive measurement techniques (被 动 测量 技 
术 )，295 
patching vulnerabilities (loT) (漏洞 修复 ( loT) )， 
459 
payment RFID technology (支付 RFID R), 
387 
PCEP ( Path Computation Element Commu- 
nication Protocol， 路 径 计算 单元 通信 协 
议 )，126 
PCMM ( Packet Cable MultiMedia， 分 组 电缆 多 
媒体 )，125 
pdv ( packet delay variation， 分 组 时 延 抖动 )， 
294-295 
peering (对 等 )，11 
perception ( 感知 )，306 
perceptual QoE (感知 QoE )，54 
perform action on packet instructions ( 对 分 组 指 
令 执 行动 作 )，102 
performance (性 能 ) 
cloud computing ( 云 计算 )，50 
congestion (拥塞 ) 
ideal (理想 )，61-63 
practical (实际 )，63-64 


IP performance metrics (IP 性 能 测度 )，293-296 
benefits (好 处 )，293 
listing of (列表 )，293 
measurement techniques (测量 技术 )，295 
need (需求 )，293 
pdv, 295 
sample metrics (抽样 测度 )，295 
stages (阶段 )，294 
statistical metrics (统计 性 测度 )，295 
QoE 
categories (分 类 )，54 
challenges (挑战 )，55 
defined (定义 )，54 
QoS, compared (QoS， 对 比 )，54 
SLAs, 281 
Persistent-Data object ( 不 间断 数据 对 象 )，339 
personal technology (个 人 技术 )，29 
PfMP ( Portfolio Management Professional, 投 
资 组 合 管理 专业 人 员 )，486 
PfR ( Cisco Performance Routing) ( PfR (思科 性 
能 路 由 ) )，272 
PgMP ( Program Management Professional, (项 
目 管理 专业 人 员 )，486 
PHB (per-hop behavior， 逐 跳 行 为 )，286 
assured forwarding (确保 转发 )，288-289 
class selector (类 别 选择 器 )，289-291 
default forwarding (默认 转发 )，287 
DiffServ, 281 
expedited forwarding (快速 转发 )，287 
physical devices/controllers level (IWF loT refer- 
ence model) (物理 设备 / 控制 器 层 ( IWF 
loT 参考 模型 ))，403 
physical network function (PNF， 物 理 网 络 功能 )， 
187 
physical port field (flow table match fields) ( 物理 
端口 字段 ( 流 表 匹配 字段 ))，100 
physical ports (物理 端口 )，96 
physical resources ( 物理 资源 )，247 
Pig，488 
pipelines (flow tables) ( 流水 线 ( 流 表 ) )，102-105 
egress processing 《出口 处 理 )，105 
ingress processing (人 口 处 理 )，104 
processing (处 理 )，102-103 
Platform as a Service ( PaaS， 平 台 即 服务 )， 


353, 488 
platforms (ioBridge) (平台 (ioBridge)), 427 
RealTime.io, 430 
ThingSpeak, 428-429 
PLC (powerline carrier, BARI), 12 
Plugin2OC, 126-127 
PMI-ACP ( PMI Agile Certified Practitioner, PMI 
敏捷 认证 执业 者 )，485 
PMI-PBA (PMI Professional in Business Anal- 
ysis，PMI 业务 分 析 专 业 人 员 )，486 
PMP ( Project Management Professional， 项 目 
管理 专业 人 员 )，486 
pneumatic actuators (气压 型 执行 器 ) , 381 
PNF (physical network function ， 物 理 网 络 功能 )， 
187 
PoE (Power over Ethernet， 以 太 网 供电 )，12 
POF ( Protocol Oblivious Forwarding， 协 议 无 关 
转发 )，117 
points of presence (PoP， 入 网 点 )，17，187 
policing traffic ( 监管 流量 )，270 
Policy Adaption Actions ( PAA， 策 略 调整 动作 )， 
156 
PolicyCop, 153-156 
architecture (体系 结构 )，154 
control rules (控制 规则 )，155 
features (特征 )，154 
modules (模块 )，155 
PAAs, 156 
workflow (工作 流 )，156 
PoP (point of presence， 存 在 点 )，17，187 
Portfolio Management Professional (PfMP, 投 
资 组 合 管理 专业 人 员 ) , 486 
port (0O), 96, 100 
position measuring devices (位 置 测量 设备 )， 
378 
POST message type (POST 消息 类 型 )，132 
Power over Ethernet ( PoE， 以 太 网 供电 )，12 
power workgroups (电力 工作 组 )，16 
powerline carrier (PLC， 电 力 线 载波 )，12 
POX，115 
PQ (priority queuing， 优 先 级 排队 )，278 
pressure/force sensor (压力 / 力 传感器 )，378 
printed circuit boards (印刷 电路 板 )，383 
priority entry (flow tables) (优先 级 表 项 ( 流 表 ) )， 
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98 
privacy (隐私 ) 
cloud ( 云 ) 
infrastructure (基础 设施 )，359 
perspective (视角 )，369 
SDN controllers (SDN 控制 器 )，134 
probes ( 探 针 )，333 
processing (处 理 ) 
big data (大 数据 )，48 
flow table pipelines ( 流 表 流水 线 )，102-103 
egress (出 口 )，105 
ingress (人口)，104 
processor (处 理 器 ) 
application (应 用 )，383 
dedicated (专用 )，383 
micro (f), 383-384 
multicore (44%), 384 
PROD (production, 产品)，471 
professionals (专业 人 员 ) 
certification programs (认证 项 目 )，480-487 
cloud computing ( 云 计算 )，482-483 
IT security (IT 安全 )，487 
networking (网 络 )，484 
project management (项 目 管 理 )，485 
SDN, 481 
systems engineer (系统 工程 师 )，486 
virtualization (虚拟 化 )，481-483 
emerging roles (新 兴 角 色 )，467 
responsibilities (职责 )，467-469 
SDN/NFV impacts (SDN/NFV 影响 )，469- 
470 
online resources (在 线 资源 )，489-490 
skills in demand (技能 需求 )，488-489 
Program Management Professional (PgMP, 项 
目 管理 专业 人 员 )，486 
programmability (DevOps) (可 编程 性 (DevOps ) )， 
477 
project management (项 目 管理 )，485 
Project Management Professional ( PMP, m A 
管理 专业 人 员 )，486 
protection (保护 )， 参 见 security 
cloud data ( 云 数据 )，452-453 
DDoS attacks (DDoS 攻击 )，157-159，162 
protocols (协议 ) 


BGP 
defined (72%), 136 
functions (JE), 136 
routing between SDN domains ( SDN sk [a] 路 
Hy), 138 
SDN QoS management ( SDN QoS 管理 )，138- 
140 
CoAP, 411-414 
formats (#34), 412 
message exchange example (消息 交换 例子 )， 
414 
message method (消息 方法 )，413 
messages (消息 )，412 
EGP, 59 
ERP, 136 
IGP, 59 
IP 
LISP, 126 
MPLS, 9 
neighbor acquisitions,/reachability (邻居 获取 ，/ 
可 达 性 )，136 
network reachability (网 络 可 达 性 )，137 
Oblivious Forwarding (POF， 协 议 无 关 转 发 )， 
117 
OpenFlow 
PCEP, 126 
Plugin Manager (插件 管理 器 )，417 
reservation (Mi), 275 
routing (路 由 选择 )，57 
ERP, 59 
IRP, 58 
ISA, 275 
SDN data plane (SDN 数据 平面 )，95 
SNMP, 126 
TCP 
congestion control (拥塞 控制 )，267 
flags field (flow table match fields) (标志 字段 
( 流 表 匹配 字段 ))，101 
source/destination ports (flow table match 
fields) ( 源 / 目 的 端口 号 ( 流 表 匹配 字段 ))， 
100 
TCP/IP, 79 
provider (提供 商 ) 
application (应 用 )，6-7 


architectural components (cloud) (体系 结构 组 件 
( 云 ))，364 
bridge traffic ISID field (flow table match fields)( 桥 
接 流量 ISID 字段 ( 流 表 匹配 字段 ))，100 
content (内 容 )，7 
Internet media (因特网 媒体 )，17 
network (网 络 )，6 
proximity motion sensors (临近 运动 传感器 )， 
378 
PSN ( packet-switched networks， 分 组 交换 网 
络 )，244 
psychological QoE (心理 感知 QoE), 54 
public (公共 ) 
cloud infrastructure ( 云 基础 设施 )，359 
safety IoT services (安全 IoT 服务 )，375 
Wi-Fi, 20 


Q 


QoE ( Quality of Experience, {$ 3 iH), 54, 
266 
actionable (可 操作 )，330-331 
agent (代理 )，337 
API, 337 
master (+), 339 
object (ATR), 338 
slave (A), 339 
applications (应 用 )，317 
categories (4}2E), 54 
challenges (挑战 )，55 
definitions (定义 )，306-308 
influences (影响 )，311-312 
layered model (分 层 模型 )，308-310 
mapping models (映射 模型 )，323 
black-box media-based (基于 黑 盒 媒体 )，323- 
325 
choosing (选择 )，327 
glass-box parameter-based (基于 白 盒 参数 )， 
325-326 
gray-box (Kf), 326-327 
IP-oriented parameter-based (面向 IP 的 参数 ， 
327-329 
measurement (测量 )，312 
end-user device analytics,( 端 用 户 设 备 分 析 )， 


315 
MOS ( mean opinion score， 平 均 意 见得 分 )， 
316-317 
objective assessment (主观 评价 )，314-315 
subjective assessment (客观 评价 )，312-314 
monitoring (监视 )，335-340 
agent object (代理 对 象 )，338 
API layer (API 层 )，337 
configuration (配置 )，335 
motivations (动机 )，301 
networks and services management (网 络 与 服务 
管理 )，318 
host-centric vertical handover (以 主机 为 中 心 
的 垂直 切换 )，341-342 
network-centric vertical handover (以 网 络 为 中 
心 的 垂直 切换 )，342-344 
VoIP calls (VoIP 呼叫 )，341 
online video content delivery (在 线 视 频 内 容 分 
发 )，302-303 
QoS, compared (QoS， 对 比 )，54 
service (服务 ) 
failures (失败 )，304 
monitoring (监视 )，317 
standardization project (标准 化 项 目 )，304-305 
QoS (quality of service， 服 务 质量 )，40，266 
architecture (体系 结构 )，268 
control plane (控制 平面 )，271-272 
data plane (数据 平面 )，269-271 
management plane (管理 平面 )，272 
background (背景 )，267-268 
defined (X), 53, 266 
DiffServ, JL DiffServ 
elastic traffic (弹性 流量 )，40 
IPPM, 293-296 
benefits (好 处 )，293 
measurement techniques (测量 技术 )，295 
metrics, listing of (测度 列表 )，293 
need (需求 )，293 
pdv, 295 
sample metrics (抽样 测度 )，295 
stages (Et), 294 
statistical metrics (统计 性 测度 )，295 
ISA 
components (组 件 )，274-275 
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defined (72), 273 
design (Htt), 273-274 
flows (i), 273 
services (HR), 276-279 
layered model (分 层 模型 )，308:310 
mapping models (映射 模型 )，323 
black-box media-based (基于 黑 盒 媒体 )，323- 
325 
choosing (选择 )，327 
glass-box parameter-based (基于 白 盒 参数 )， 
325-326 
gray-box (JK), 326-327 
IP-oriented parameter-based (面向 IP 的 参数 )， 
327-329 
modern networking schema (现代 网 络 架构 )，72 
monitoring (监视 )，334-335 
online video content delivery (在 线 视频 内 容 分 
发 )，303 
OpenFlow, 296-298 
policy (策略 )，272 
PolicyCopy application ( PolicyCopy 应 用 程序 )， 
153-156 
architecture (体系 结构 )，154 
control rules (控制 策略 )，155 
features (特征 )，154 
modules (模块 )，155 
PAA, 156 
workflow (THER), 156 
properties (属性 )，53 
QoE, compared (QoE， 对 比 )，54 
routing (路 由 选择 )，272 
SDN 
managing with BGP (用 BGP 进 行 管 H), 
138-140 
routing between domains ( 域 间 由 选择 )，137- 
138 
SLA 
architecture (体系 结构 )，292 
availability (可 用 性 )，292 
features (特征 )，291 
latency (时 延 )，292 
reliability (可 靠 性 )，293 
QUALINET, 304-308 
quality (质量 ) 
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formation process (FZ Mit FE), 307-308 
QoE definition (QoE Æ SZ), 306 
Quality of Experience (体验 质量 )， 参 见 QoE 
Quality of Service (服务 质量 )， 参 见 QoS 
QuEEN ( Quality of Experience Estimators in 
Networks， 网 络 体验 质量 评估 )，305 
querying resources (查询 资源 )，416-417 
queues (队列 ) 
custom (定制 )，278 
data flows (数据 流 )，270 
disciplines (EWJ), 277-279 
fair queuing (公平 排队 )，279 
FIFO，277 
management (管理 )，270 
OpenFlow QoS support ( OpenFlow QoS 支持 )， 
296 
priority (fi 762%), 278 


R 

radio-frequency identification (射频 识别 )， 参 见 
RFID 

random early detection ( RED， 随 机 早期 检测 )， 
271 

RAN ( radio access network， 无 线 接 入 网 络 )， 
224 

rapid service provisioning (快速 服务 资源 置 备 )， 
253 


rate based explicit congestion signaling (基于 速 
率 的 显 式 拥塞 信号 )，67 
RBAC ( role-based access control， 基 于 角色 的 
访问 控制 )，463 
read range (RFID tags)( 读 取 范 围 (RFID 标签 ) )， 
390 
real-time (实时 )，43，430 
communication (RTC) (通信 (RTC)), 33 
traffic (流量 ) 
continuous data sources (持续 型 数据 源 )，44 
defined (定义 )，43 
delays (时 延 )，43 
illustration (示例 )，43 
on/off sources (开关 型 数据 源 )，44 
packet transmission (分 组 传输 )，44 
variable-length packet (可 变 长 分 组 )，44 
recording traffic ( 记录 流量 )，272 


Red Hat 
Certified Engineer (RHCE， 认 证 工程 师 )，487 
Certified Systems Administrator (RHCSA) (认证 
系统 管理 员 (RHCSA)), 487 
Enterprise Linux Atomic Host DevOps related- 
products (企业 级 Linux 原子 主机 DevOps 
相关 产品 )，479 
RED (random early detection， 随 机 早期 检测 ), 
271 
reference points (参考 点 ) 
IND, 209 
NFV, 195 
references (参考 文献 ) 
reliability ( 可 靠 性 ) 
SDN controllers (SDN 控制 器 )，133 
SLA, 293 
repositories (Ff), 219 
REpresentational State Transfer (表述 性 状态 转 
#%), #3 REST 
Request For Comments (RFC, RFE), 87 
requirement ( 需求) 
cloud computing ( 云 计 算 )，50 
elastic traffic (弹性 流量 )，39 
evolving (演进 ) 
complex traffic patterns (复杂 流量 模式 )，78 
demand increases (需求 增 加 )，77 
inadequate architectures (架构 不 足 )，79-80 
supply increases (供给 增加 )，77 
inelastic traffic( 非 弹性 流量 )，40-42 
IoT security (IoT 安全 )，459-461 
modern networks (现代 网 络 )，80 
NFV, 192-193 
security (44>), 435-436 
reservation protocols ( 预 留 协议 )，275 
reserving ( 预 留 ) 
port (端口 )，97 
resource (资源 )，272 
residential (住宅 )， 参 见 homes 
resolution (解析 )，380 
resource (资源 ) 
layer (分 层 )，121 
NFVI, 220 
querying (查询 )，416-417 
reserving( 预 留 )，272 


responsibility ( 职责 ) 
IT/network professional ( IT/ H 24 % db A B ), 
467-469 
NIST cloud computing reference architecture 
(NIST 云 计算 参考 体系 结构 )，361，364 
REST ( REpresentational State Transfer， 表 述 性 
状态 转移 )，128 
API example (API 例子 )，130-132 
constraints (约束 )，128-130 
cache (缓存 )，129 
client-server (客户 端 一 服务 器 )，128 
code-on-demand ( 按 需 代码 )，130 
layered system (分 层 系统 )，130 
stateless (无 状态 )，128 
uniform interface (统一 接口 )，129 
defined (定义 )，128 
resource request/response handlers (资源 请 求 / 响 
应 处 理 程序 )，419 
URI, 129 
restoring traffic (流量 修复 )，272 
retail loT (零售 物 联网 )，376 
RFC (Request For Comments， 请 求 评论 )，87 
RFC 4594 (Configuration Guidelines for DiffServ 
Service Classes) (RFC 4594 (区 分 服务 
类 型 配置 准则 ) )，41 
RFID (radio-frequency identification ， 射 频 识 别 ), 
387 
access control (访问 控制 )，388 
anti-counterfeiting tool (防伪 工具 )，388 
application (应 用 )，387-389 
device (设备 )，397 
functionality (功能 )，391-392 
operating frequency (运行 频率 )，391 
payment/stored value systems (支付 / WERA), 
387 
reader( 读 写 器 )，390 
tag (标签 )，389-390 
functionality (功能 )，391-392 
operating frequency (运行 频率 )，391 
reader (BE 4%), 390 
type (4844), 390 
tracking/identification (追踪 / 识别 )，387 
RHCE (Red Hat Certified Engineer, Red Hat iA 
证 工程 师 )，487 
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RHCSA ( Red Hat Certified Systems Admini- 
strator, Red Hat 认证 系统 管理 员 )，487 
role (AË) 
based access control (RBAC) (基于 角色 的 访问 控 
制 (RBAC)), 463 
IT professional (IT 专业 人 员 )，467 
responsibility (职责 )，467-469 
SDN/NFV impact (SDN/NFV 影响 )，469-470 
NIST. cloud computing reference architecture 
(NIST 云 计算 参考 体系 结构 )，361-364 
round-trip delay metric (往返 时 延 测 度 )，294 
routing (路 由 选择 ) 
aggregation (聚合 )，8 
algorithms (算法 )，273 
characteristics (特征 )，55-56 
core (核心 )，8 
element (元 素 )，59-60 
packet forwarding (分 组 转发 )，56-57 
peering (对 等 )，11 
protocol (协议 )，57 
ERP, 59 
IRP, 58 
QoS, 272 
queuing discipline (HEA RRM), 277-279 
router element (路 由 器 组 成 元 素 )，59-60 
SDN 
controller (控制 器 )，119-120 
domain (4k), 137-138 
RStudio, 489 
RTC (real-time communication) dashboard ( 实 
时 通信 仪表 盘 )，33 
Ryu，115 


S 


SaaS (Software as a Service， 软 件 即 服务 )，352 
defined (定义 )，352 
OpenCrowd example SaaS services survey ( Open- 
Crowd 典型 SaaS 服务 调查 )，352-353 
subscribers (用 户 )，352 
SAL (service abstraction layer, Ak StH RE), 
123 
Salesforce cloud computing certification progr- 
ams (Salesforce 云 计算 认证 计划 )，482 
sample metrics (抽样 测度 )，295 
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satellite TV end-to-end delivery chain (卫星 电视 
端 到 端 传输 链 )，301 
scalability ( 可 扩展 性 )，216 
cloud computing ( 云 计算 )，50 
NV，253 
SDN controllers (SDN 控制 器 )，133 
scheduling (调度 ) 
data flow (数据 流 )，270 
packet (分 组 )，275 
scripting (DevOps) (脚本 (DevOps)), 477 
SCTP ( Stream Control Transmission Protocol, 
流 控制 传输 协议 ) 100, 342 
SDI ( software-defined infrastructure， 软 件 定义 
基础 设施 )，257 
application (应 用 )，258 
architecture (体系 结构 )，261-262 
defined (定义 )，257 
feature (特征 )，258-259 
NFV, 258 
SDN, 258 
SDS, 259-260 
SDK API (CM), 419 
SDN ( software-defined networking， 软 件 定义 网 
络 )，67 
API, 83 
application (应 用 )，85，145 
application (应 用 )，147 
data center networking (数据 中 心 网 络 )，162- 
168 
ICN，168-173 
measurement (测量 )，157 
mobility/wireless (移动 /无 线 )，168 
monitoring (监视 )，157 
network service abstraction layer (网 络 服 务 抽 
象 层 )，146-152 
northbound interface (北向 接口 )，146 
security (安全 )，157-162 
traffic engineering (流量 工程 )，153-156 
user interface (用 户 接口 )，147 
certification programs (认证 程序 )，481 
characteristics (特征 )，85 
cloud computing ( 云 计算 )，368-371 
controller (控制 器 )，68 
application threats (应 用 威胁 )，439 


centralized (集中 式 )，133 
distributed (分 布 式 )，134 
federation (联邦 )，135 
function (功能 )，113-114 
HA cluster (HA 集群 )，134 
IETF SDNi, 140-141 
implementing (SEH), 84, 115 
northbound interface (北向 接口 )，117-119 
OpenDaylight module ( OpenDaylight $i 块 )， 
126 
OpenDaylight SDNi, 141-142 
PolicyCop application (PolicyCop 应 用 )，155 
privacy (隐私 )，134 
QoS management (QoS 管理 )，138-140 
reliability (可 靠 性 )，133 
routing (路 由 选择 )，119-120 
routing between domains ( 域 间 路 由 选择 )， 
137-138 
scalability (可 扩展 性 )，133 
security threat (安全 威胁 )，439 
southbound interface ( 南 向 接口 )，116-117 
control plane (控制 平面 )，68，82，113 
data plane (数据 平面 )，68，82 
function (功能 )，93-94 
protocol (协议 )，95 
security threat (安全 威胁 )，437-439 
defined (定义 )，67 
deployment driving factors (部 署 动因 )，68-69 
domain ( 域 )，133 
functionality (功能 )，67 
IT/network job position impact (IT/ 网 络 职位 影 
响 )，469-470 
ITU-T Y.3300 high-level architecture (ITU-T 
Y.3300 高 层 体系 结构 )，120-121 
mobility driving factor (移动 动因 )，69 
modern networking schema (现代 网 络 架 构 )，72 
NFV 
relationship (4A), 225-228 
similarities (相似 性 )，70 
NOS，114 
OpenDaylight architecture ( OpenDaylight 体系 结 
构 )，122 
base network service functions (基础 网 络 服务 
功能 )，124 
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control plane/application plane functionality (4 
制 平面 /应 用 平面 功能 )，123 
flexibility (灵活 性 )，123 
Helium ( 氨 )，124 
layers (分 层 )，122 
modules (模块 )，125-127 
SAL, 123 
OpenFlow, 4 OpenFlow 
packet forwarding (分 组 转发 )，83 
REST 
API example (API 例子 )，130-132 
constraint (约束 )，128-130 
defined (定义 )，128 
SDI, enabling (支持 SDI)，258 
security (安全 ) 
controller (4 1il#t), 114 
goal (Fits), 157 
OpenDaylight Defense4All DDoS application 
( OpenDaylight Defense 4 All DDoS 应 用 ), 
157-162 
software-defined (软件 定义 )，440 
threats (威胁 )，436，439 
server virtualization (服务 器 虚拟 化 )，68 
standard (标准 )，85-87 
industry consortium (行业 联盟 )，89 
open development initiatives (开放 发 展 组 织 )， 
90 
SDO，87-89 
SDNi ( Software-Defined Networking interface， 
软件 定义 网 络 接口 )，127 
aggregator (聚合 器 )，127 
IETF，140-141 
messages (消息 )，141 
OpenDaylight, 141-142 
wrappers (封装 器 )，127 
SDO ( standards-developing organization， 标 准 
制定 组 织 )，87-89 
SDS (software-defined storage， 软 件 定义 存储 )， 
259-260 
SecaaS ( Cloud Security as a Service， 云 安全 
BOARS), 453-456 
business continuity/disaster recovery (业务 连续 性 / 
灾难 恢复 )，456 
data loss prevention (数据 丢失 保护 )，455 


encryption (加 密 )，456 
IAM, 455 
intrusion management (人 侵 管理 )，456 
network security (网 络 安全 )，456 
security assessments (安全 评估 )，455 
SIEM，456 
Web security (Web 安全 )，455 
second generation (2G) cellular networks (第 二 
代 蜂 窝 网 络 )，23 
Secure Network Bootstrapping Infrastructure 
(SNBi， 安 全 网 络 引 导 基 础 设施 )，125 
security (安全 ) 
AAA 
authentication filter (认证 过 滤器 )，127 
OpenDaylight, 126 
big data concerns (大 数据 问题 )，48 
certification program (认证 项 目 )，486 
Cisco IoT system (思科 IoT 系统 )，425-426 
cloud computing( 云 计算 )，446 
architecture (体系 结构 )，448 
auditability (可 审计 性 )，449 
availability (可 用 性 )，448-449 
compliance ( 合 规 性 )，447 
controls (控制 )，457 
data protection (数据 保护 )，448，452-453 
governance (治理 )，447 
identity/access management (身份 /访问 管理 )， 
448 
incident response (事故 响应 )，448 
Security as a Service (安全 即 服务 )，453-456 
sharing vendor resource (共享 供应 商 资源 )， 
449 
software isolation (软件 隔离 )，448 
subscriber protection (用 户 保护 )，450 
threats (威胁 )，449-450 
trust (信任 )，447 
DDoS 
Defense4All application ( Defense4All 应 用 ), 
157-159, 162 
OpenDaylight, 127 
e-mail (电子 邮件 )，455 
encryption (加 密 )，23 
information and event management ( SIEM ， 安 全 


信息 和 事件 管理 )，456 
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IoT, 458-459 
framework (HE2), 462-464 
patching vulnerability (漏洞 修复 )，459 
requirement (需求 )，459-461 
service (服务 )，375 
IP (IPsec), 241-243 
network (网络 )，456 
NFV, 441 
attack surface (攻击 表面 )，441-444 
ETSI security perspective (ETSI 安 全 视角 )， 
444-446 
techniques (F278), 446 
privacy (隐私 ) 
cloud ( 云 )，359，369 
SDN controllers (SDN 控制 器 )，134 
requirements (需求 )，435-436 
SDN 
controllers (控制 器 )，114 
goals (目标 )，157 
OpenDaylight Defense4All DDoS application 
( OpenDaylight Defense4All DDoS 应 用 ), 
157-162 
software-defined (软件 定义 )，440 
threats (威胁 )，436，439 
TLS, 438 
Web, 455 
select group type (选择 组 类 型 )，109 
sensing devices (loT) ( 传 感 装置 (loT) )，396 
sensor (传感器 )，377 
accuracy (准确 性 )，379 
defined (定义 )，377 
interface (接口 )，377 
IoT，29 
precision (精度 )，379 
resolution (解析 度 )，380 
technology (技术 )，29 
type (类 型)，378-379 
server (服务 器 ) 
blade (刀片 )，14 
centralized farms (集中 式 池 )，16 
data management (数据 管理 )，46 
Iotivity，419 
network management (网 络 管理 )，47 
virtualization (虚拟 化 )，68 


service (服务 ) 
abstraction layer (SAL， 抽 和 象 层 )，123 
actionable QoE (可 操作 QoE)，331 
class characteristics ( traffic) (类 型 特征 ( 流 
量 )), 41 
cloud ( 云 ) 
CaaS, 355 
cloud capability types ( 云 能 力 类 型 )，356 
CompaaS, 356 
DSaaS, 356 
emerging (#13%), 357 
IaaS, 354-355 
NaaS, 356 
PaaS, 353 
SaaS, 352-353 
XaaS, 357-358 
Cloud Security as a Service (2 & 4 Bl) IR 4), 
453-456 
business continuity/disaster recovery ( 业 4 连 
续 性 /灾难 恢复 )，456 
data loss prevention (数据 丢失 保护 )，455 
encryption (加 密 )，456 
IAM, 455 
intrusion management (人 侵 管理 )，456 
network security (网 络 安 全 )，456 
security assessments (安全 评估 )，455 
SIEM, 456 
Web security (Web 安全 )，455 
differentiated (X47, #JL DiffServ) 
enterprise (企业 )，30 
function chaining (SFC) (功能 链 (SFC)), 126 
GBP, 126 
hijacking (劫持 )，451 
IoTivity Base (IoTivity 软件 库 )，415-420 
ISA, 276 
controlled load (可 控 人 负载 )，277 
guaranteed (保证 )，276 
queuing disciplines (排队 规则 )，277-279 
LISP, 127 
monitoring (监测 ) 
categories (类 别 )，332 
on-demand ( 按 需 )，333 
probes ( 探 针 )，333 
QoE, 317 


network (网 络 ) 
NFV, 187 
SDN application plane abstraction layer (SDN 
应 用 平面 抽象 层 )，146-152 
OpenStack, 126 
PaaS, 488 
provider perspective (cloud computing) (提供 商 
视角 ( 云 计算 ))，369 
QoE-based management (基于 QoE 的 管理 ) 
host-centric vertical handover (以 主机 为 中 心 
的 垂直 切换 )，341-342 
network-centric vertical handover (以 网 络 为 中 
心 的 垂直 切换 )，342-344 
VoIP call (VoIP 呼叫 )，341 
sectors (IoT) (行业 (IoT) ) 
buildings (建筑 )，377 
consumer and home (消费 者 与 家 庭 )，376 
energy (能 源 )，377 
healthcare/life science (医疗 保健 /生命 科学 )， 
376 
industrial (工业 )，376 
IT/networks (IT/ 网 络 )，375 
retail services (零售 服务 )，376 
security/public safety (安全 /公共 安全 )，375 
transportation (交通 )，376 
SNBi, 127 
use cases (NFV) (用 例 (NFV)), 223-225 
CDN, 224 
fixed access network functions (固定 接 人 网 络 
功能 )，225 
home environments (家 庭 环境 )，224 
mobile cellular networks (移动 蜂窝 网 络 )， 
223 
RAN equipment (RAN 设备 )，224 
SFC (service function chaining， 服 务 功 能 链 )， 
126 
shaping (整形 ) 
DiffServ, 281 
traffic (Hitt), 270, 285 
sharing (共享 ) 
technology threats (技术 威胁 )，451 
vendor resources( 供 应 商 资 源 )，449 
shortest path forwarding (最 短路 径 转发 )，114 
SIEM ( security information and eventmanage- 
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ment， 安 全 信息 与 事件 管理 )，456 
Simple Network Management Protocol ( SNMP， 
简单 网 络 管理 协议 )，126 
singleton metrics (单一 指标 )，294 
SIT (system integration testing， 系 统 集成 测试 )， 
471 
skills in demand (需求 技能 )，488-489 
SLA (service level agreement， 服 务 等 级 约定 )， 
272 
architecture (体系 结构 )，292 
availability (可 用 性 )，292 
DiffServ, 281 
features (特征 )，291 
latency (时 延 )，292 
reliability (可 靠 性 )，293 
slave QoE agents (从 QoE 代理 )，339 
smart home data models ( CM， 智 能 家 庭 数 据 模 
型 )，419 
Smashwords.com, 263 
SNBi ( Secure Network Bootstrapping Infrastruc- 
ture， 安 全 网 络 引导 基础 设施 )，125-127 
SNMP ( Simple Network Management Protocol, 
简单 网 络 管理 协议 )，126 
Soft Sensor Manager ( 软 传感器 管理 器 )，417 
software (软件 ) 
as a Service (软件 即 服务 )， 参 见 SaaS 
defined networking (软件 定义 网 络 )， 参 见 SDN 
Defined Networking interface (软件 定义 网 络 接 
口 )， 参 见 SDNi 
isolation (隔离 )，448 
security (安全 )，440 
storage (SDS) (存储 (SDS) )，259-260 
source/target IPv4 addresses in ARP payload 
field(flow table match fields) (ARP 载荷 字 
段 中 源 / 目标 IPv4 地 址 ( 流 表 匹 配 字段 ) )， 
100 
southbound interfaces (北向 接口 )，116-117 
specialized sensor (专用 传感器 )，379 
specification abstraction (规范 抽象 )，149 
SSCP ( Systems Security Certified Practitioner, 
系统 安全 认证 从 业者 )，487 
standards (标准 ) 
defined (定义 )，85 
developing organizations (SDO， 制 定 组 织 )，87- 


89 LAN, 231 
Ethernet (以 太 网 )，14 Layer 3 (3 JÆ), 10 
IEEE 802.1Q, 237-238 legacy (遗留 )，238 
NFV, 85-87, 186 OpenDaylight, 124 
industry consortiums (行业 联盟 )，89 OpenFlow, 96-97 
open development initiatives (开放 发 展 组 织 )， statistics (统计 信息 ) 
90 retrieving (检索 )，131 
SDO，87-89 updating (更 新 )，132 
open (开放 )，85 ToR, 17 
QoE projects (QoE 项 目 )，304-305 symmetric messages (对 称 消息 )，110 
QoS 参见 ISA system integration testing ( SIT， 系 统 集 成 测试 )， 
SDN，85-87 471 
industry consortiums (行业 联盟 )，89 system-oriented actionable QoE (面向 系统 的 可 
open development initiatives (开放 发 展 组 织 )， 操作 QoE)，330 
90 systems engineer certification programs ( 系统 工 
SDO, 87-89 程 师 认 证 计划 )，486 
Wi-Fi, 21 
stateless constraint (REST， 无 状态 约束 )，128 T 
statistics (统计 ) tables ( 表 ) 
manager (管理 者 ) fow ( 流 ) 
OpenDaylight, 124 actions (动作 )，101 
SDN controllers (SDN 控制 器 )，114 action sets (动作 集合 )，102 
metrics (WEE), 295 entries (i), 98 
switch (交换 机 ) instructions component (指令 组 件 )，102 
retrieving (检索 )，131 match fields (匹配 字段 )，99-101 
updating (更 新 )，132 nesting (W£), 106-107 
storage (存储 ) pipeline (流水 线 )，102-105 
big data (大 数据 )，48 structure (结构 )，98 
cloud ( 云 )，350 group (组 ) 
IoT, 30 action buckets (动作 桶 )，108 
nodes (4554), 206 entries (1), 107 
stored value systems RFID technology ( 储 值 系 group types (442K), 108-109 
% RFID 技术 )，387 OpenFlow, 107-109 
Stream Control Transmission Protocol ( SCTP， OpenFlow logical switch ( OpenFlow 逻辑 交换 
流 控制 传输 协议 )，100，342 机 )，97 
subjective assessment (QoE)( 主观 评价 (QoE ))， flow ( 流 )，106-107 
312-314 group (#1), 107-109 
subscriptions (订阅 ) tags (RFID) (标签 (RFID))，389-390 
manager (管理 者 )，419 functionalities (功能 )，391-392 
protecting (保护 )，450 operating frequencies (工作 频率 )，391 
SuperCloud DevOps related products ( Super- readers ( 读 写 器 )，390 
Cloud DevOps 相关 产品 )，479 read range ( 读 写 范围 )，390 
switches ( 交换 机 ) types (类 型 )，390 


eswitch, 205 tail drop technique ( 弃 尾 技术 )，271 
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Taylor & Francis Online website (泰勒 与 弗 朗 西 
斯 在 线 网 站 )，431 
TCA ( traffic conditioning agreement， 流 量 调节 
协议 )，281 
TCP 
congestion control (拥塞 控制 )，267 
flags field (flow table match fields) (标志 字段 ( 流 
表 匹 配 字段 ))，101 
source/destination ports (flow table match fields)( 源 / 
目的 端口 号 ( 流 表 匹 配 字段 ))，100 
TCP/IP 
characteristics (特征 )，79 
defined (X), 79 
technology development (技术 开发 )，373 
Telecom Lighthouse website (电信 灯塔 网 站 )， 
229 
temperature sensors (温度 传感器 )，379 
templates (模板 )，181 
things (loT) ( 物 (loT))，396 
Things Manager ( 物 管理 器 )，417 
ThingSpeak, 428-429 
third generation (3G) cellular networks (第 三 代 
蜂窝 网 络 )，24 
threats (威胁 ) 
cloud security ( 云 安全 )，449 
abuse/nefarious use (滥用 /恶意 使 用 )，450- 
452 
account/service hijacking (账户 /服务 劫持 )， 
451 
data loss/leakage (数据 丢失 / 泄漏 )，451 
malicious insiders (恶意 内 部 人 员 )，451 
shared technology issues (共享 技术 问题 )， 
451 
unknown risk profiles (未 知 风险 状况 )，452 
unsecure interface/API ( 非 安 全 接口 /API)，450 
SDN security (SDN 安全 )，436，439 
application plane (应 用 平面 )，439 
control plane (控制 平面 )，439 
data plane (数据 平面 )，437-439 
three V's (volume, velocity, variability) ( 3V ( 大 
容量 ， 高 速度 ， 多 样 性 ))，48 
throughput (吞吐 率 )，40 
timeouts entry (flow tables) ( 表 项 超时 ( 流 表 ) )， 
98 


Timer object (计时 器 对 象 )，339 
TLS ( Transport Layer Security， 运 输 层 安全 )， 
437 
phases (阶段 )，438 
security (安全 )，438 
TCP/IP architecture (TCP/IP 体系 结构 )，437 
token buckets ( 令 牌 桶 )，285 
topology manager (拓扑 管理 器 ) 
OpenDaylight, 124 
SDN controllers (SDN 控制 器 ) 114, 120 
ToR (top-of-rack) switches ( TOR (机 架 顶 端 ) 交 
换 机 )，17 
total elapsed time (总 共 经 历 的 时 间 )，40 
tracking RFID technology (跟踪 RFID 技术 )，387 
traditional architectures (传统 体系 结构 )，79-80 
traffic (流量 ) 
best effort (尽力 而 为 )，267 
big data (大 数据 )，45 
analytics (分 析 )，46 
areas of concern (关注 领域 )，48 
defined (定义 )，45 
ecosystem example (生态 系统 例子 )，46-48 
infrastructures (基础 设施 )，46 
three V’s (3V), 48 
classification (47%), 269, 285 
cloud computing ( 云 计算 )，48 
core (核心 )，50 
intercloud ( 云 间 )，50 
intracloud ( 云 内 部 )，49 
OSS, 50 
requirements (需求 )，50 
virtual machine (虚拟 机 )，49 
complex pattern (复杂 模式 )，78 
conditioning (调整 ) 
agreement (约定 )，281 
DiffServ, 281-285 
congestion (拥塞 )， 参 见 congestion 
controlling (控制 )，271-272 
droppers (丢弃 器 ), 285 
engineering (工程 )，153-156 
elastic( 弹 性) 
applications (应 用 )，39 
benefits (好 处 )，40 
defined (定义 )，39 
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delays (时 延 )，39 
QoS, 40 
requirements (需求 )，39 
total elapsed time (总 共 经 历 的 时 间 )，40 
flow (iit) 
classification (4}2E), 269 
policing (策略 )，270 
shaping (整形 )，270 
VIN, 256 
inelastic ( 非 弹 性 ) 
defined (定义 )，40 
delay (时 延 )，40 
internet requirement (互联 网 需求 )，42 
packet loss (分 组 丢失 )，41 
QoS requirements (QoS 需求 )，42 
requirements (需求 )，40 
service class characteristics (服务 类 别 特征 )， 
41 
throughput (吞吐 率 )，40 
lower than best effort ( 低 于 尽力 而 为 )，268 
markers (标记 )，285 
metering (计量 ) , 272, 285 
mobile (移动 )，51 
categories (类 别 )，52 
growth (增长 )，52 
projections (预测 )，52 
wireless users (无 线 用 户 )，52 
world total, calculating (全 球 总 流量 ， 计 算 )， 
51 
packet marking (分 组 标记 )，270 
policing (策略 )，270 
queuing and scheduling (排队 与 调度 )，270 
real-time (实时 ) 
continuous data sources (持续 型 数据 源 )，44 
defined (定义 )，43 
delays (时 延 )，43 
illustration (示例 )，43 
on/off sources (on/off sources), 44 
packet transmission (分 组 传输 )，44 
variable-length packets (可 变 长 分 组 )，44 
recording (记录 )，272 
restoration (恢复 )，272 
shaping (整形 )，270，285 


specification (TSpec) (规范 (TSpec)) ,276 
TCP congestion control (TCP 拥塞 控制 )，276 
transceivers (收发 器 )，386 
transmission technologies (传输 技术 )，11 
cellular (蜂窝 ) 
1G (first generation， 第 一 代 )，23 
2G (second generation， 第 二 代 )，23 
3G (third generation， 第 三 代 )，24 
4G (fourth generation， 第 四 代 )，24 
5G (fifth generation， 第 五 代 )，25 
defined (定义 )，23 
Ethernet (以 太 网 ) 
carrier (运营 商 )，14 
data centers (数据 中 心 )，13 
data rate (数据 速率 )，14-19 
defined (定义 )，11 
enterprise (企业 )，13 
homes (家 庭 )，12 
metro (城市 )，14 
offices (办 公 室 )，12 
standards (标准 )，14 
WAN, 14 
Wi-Fi combination (Wi-Fi 组 合 )，12 
Wi-Fi 
data rates (数据 速率 )，21-22 
defined (定义 )，19 
enterprise (企业 )，20 
homes (家 庭 )，20 
public (公共 )，20 
standards (标准 )，21 
transportation loT services (运输 业 IloT 服 务 )， 
376 
Transport Layer Security (TLS， 运 输 层 安全 )， 
437-438 
trick mode (技巧 模式 ), 302 
trust (信任 )，447 
TSpec (traffic specification， 流 量规 范 ) , 276 
Tunnel IDs field (flow table match fields) (隧道 
ID 字段 ( 流 表 匹 配 字段 ))，100 
tunnels ( 隧道 )，245 
Type 1/Type 2 hypervisors (类 型 1/ 类 型 2 虚拟 
机 管理 程序 )，183 


U 


UAT ( user acceptance testing， 用 户 验 收 测试 )， 
471 
UC (unified communications， 统 一 通信 )，33 
audio conferencing (音频 会 议 )，34 
benefits (好 处 )，36 
convergence (汇聚 )，35 
defined (定义 )，33 
elements (元 素 )，33-35 
instant messaging (即时 消息 )，34 
IP enabling contact centers (IP 使 能 联系 中 心 )， 
35 
mobility (移动 性 )，35 
presence (在 场 信息 )，35 
RTC dashboard (RTC 仪表 盘 )，33 
unified messaging (统一 消息 )，34 
video conferencing (视频 会 议 )，34 
web conferencing (Web 会 议 )，34 
UDP source/destination ports (flow table 
matchfields) (UDP 源 / 目的 端口 (HRE 
配 字段 ))，100 
unconstrained devices ( 非 受 限 设备 )，410 
unicast addressing ( 单 播 寻 址 )，231 
Unified Functional Testing (统一 功能 测试 )，489 
unified messaging (统一 消息 )，34 
uniform interfaces (统一 接口 )，129 
uniform resource identifier ( URI， 统 一 资源 定位 
符 )，129 
unknown risk profiles (未 知 风险 状况 )，452 
update action set instructions (更 新 动作 集 指令 )， 
102 
update metadata instructions (更 新 元 数据 指令 )， 
102 
updating switch statistics ( 更 新 交换 机 统计 信息 )， 
132 
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